Forums Linux Autres OS Linux

Faux positifs avec chkrootkit

Le dimanche 11 Décembre 2011 à 12:35

MAI

Chkrootkit (version 0.49) est sensé détecter des contaminations de type
rootkit trojans etc.. Depuis quelque temps il détecte un :
"Searching for Suckit rootkit Warning: /sbin/init INFECTED"
avec :
Linux xxxxxxx 2.6.39.4-4.2-desktop #1 SMP Fri Nov 4 10:24:20 UTC 2011
i686 i686 i386 GNU/Linux

qui semble être un faux positif. Mais pour s'en assurer il faut toute
une manip (trouvée dans des forum sur le web). J'utilise mandriva pwpack
2011.0 32 bits sur un portable et ce message est nouveau et
n'apparaissait pas (si je me souviens bien) avec la 2010.2.

Quelqu'un a une idée : est-ce bien un bug ou une "fonctionnalité" .

Faut-i utiliser systématiquement un autre détecteur ? rkhunter, d'autres?
CDT

Partager ce contenu :

Vos réponses

Trier par : date / pertinence

yves

Le 11/12/2011 à 12:38 #24056741

Le 11/12/2011 12:35, MAI a écrit :

Chkrootkit (version 0.49) est sensé détecter des contaminations de type
rootkit trojans etc.. Depuis quelque temps il détecte un :
"Searching for Suckit rootkit... Warning: /sbin/init INFECTED"

J'ai scanné avec la même version 0.49 et init est non infecté chez moi.

avec :
Linux xxxxxxx 2.6.39.4-4.2-desktop #1 SMP Fri Nov 4 10:24:20 UTC 2011
i686 i686 i386 GNU/Linux

qui semble être un faux positif. Mais pour s'en assurer il faut toute
une manip (trouvée dans des forum sur le web). J'utilise mandriva pwpack
2011.0 32 bits sur un portable et ce message est nouveau et
n'apparaissait pas (si je me souviens bien) avec la 2010.2.

Quelqu'un a une idée : est-ce bien un bug ou une "fonctionnalité" .

Faut-i utiliser systématiquement un autre détecteur ? rkhunter, d'autres?
CDT

-1 Répondre en citant

Tonton Th

Le 11/12/2011 à 12:45 #24056731

On 12/11/2011 12:38 PM, yves wrote:

Le 11/12/2011 12:35, MAI a écrit :

Chkrootkit (version 0.49) est sensé détecter des contaminations de type
rootkit trojans etc.. Depuis quelque temps il détecte un :
"Searching for Suckit rootkit... Warning: /sbin/init INFECTED"

J'ai scanné avec la même version 0.49 et init est non infecté chez moi.

Déja, vous pourriez donner les MD5 de vos /sbin/init, ça peut
_éventuellement_ aider à cerner le problème.

--

Nous vivons dans un monde étrange/
http://foo.bar.quux.over-blog.com/

-1 Répondre en citant

yves

Le 11/12/2011 à 12:52 #24056781

Le 11/12/2011 12:45, Tonton Th a écrit :

On 12/11/2011 12:38 PM, yves wrote:

Le 11/12/2011 12:35, MAI a écrit :

Chkrootkit (version 0.49) est sensé détecter des contaminations de type
rootkit trojans etc.. Depuis quelque temps il détecte un :
"Searching for Suckit rootkit... Warning: /sbin/init INFECTED"

J'ai scanné avec la même version 0.49 et init est non infecté chez moi.

Déja, vous pourriez donner les MD5 de vos /sbin/init, ça peut
_éventuellement_ aider à cerner le problème.

De toute manière chez moi Chkrootkit ne trouve pas de Suckit rootkit

-1 Répondre en citant

Vivien MOREAU

Le 11/12/2011 à 13:31 #24057021

yves

Le 11/12/2011 12:45, Tonton Th a écrit :

On 12/11/2011 12:38 PM, yves wrote:

[...]
J'ai scanné avec la même version 0.49 et init est non infecté chez moi.

Déja, vous pourriez donner les MD5 de vos /sbin/init, ça peut
_éventuellement_ aider à cerner le problème.

De toute manière chez moi Chkrootkit ne trouve pas de Suckit rootkit

Si Tonton Th te demande ça, c'est justement pour vérifier si tu as le
même /sbin/init que l'OP et donc pour savoir si c'est pertinent. :-)

--
Asynchroniquement,
Vivien

-1 Répondre en citant

jacques

Le 12/12/2011 à 00:54 #24059401

Le Sun, 11 Dec 2011 12:45:37 +0100, Tonton Th a écrit :

Déja, vous pourriez donner les MD5 de vos /sbin/init, ça peut
_éventuellement_ aider à cerner le problème.

3ddeab602ef255f8453834a161addd19 /sbin/init

Pas de Suckit chez moi.

J.

Non-mais...

-1 Répondre en citant

Leger

Le 12/12/2011 à 18:11 #24061761

MAI wrote:

"Searching for Suckit rootkit... Warning: /sbin/init INFECTED"
avec :
Linux xxxxxxx 2.6.39.4-4.2-desktop #1 SMP Fri Nov 4 10:24:20 UTC 2011
i686 i686 i386 GNU/Linux

qui semble être un faux positif. Mais pour s'en assurer il faut toute
une manip (trouvée dans des forum sur le web). J'utilise mandriva pwpack

Bonjour,

J'ai la même chose sur ma Mandriva 2011 pwp 64 bits.
J'avais regardé dès la fin de l'installation avant que je fasse quoi que ce
soit sur ma machine.
Donc ça ne doit pas être un souci vu qu'il était là dès le début.

--
@+
Leger

-1 Répondre en citant

Arnaud Gomes-do-Vale

Le 12/12/2011 à 22:58 #24062611

Leger

J'ai la même chose sur ma Mandriva 2011 pwp 64 bits.
J'avais regardé dès la fin de l'installation avant que je fasse quoi que ce
soit sur ma machine.
Donc ça ne doit pas être un souci vu qu'il était là dès le début.

Sauf si les (ou certains) serveurs de distribution de Mandriva se sont
faits trouer.

--
Arnaud
http://blogs.glou.org/arnaud/

-1 Répondre en citant

Poster une réponse