Bonjour,
Le rapport de rkhunter me dit ceci:
Warning: Checking for possible rootkit strings [ Warning ]
Found string 'hdparm' in file '/etc/init.d/.depend.boot'. Possible=
=20
rootkit: Xzibit Rootkit
Found string 'hdparm' in file '/etc/init.d/hdparm'. Possible rootk=
it:=20
Xzibit Rootkit
Warning: Hidden directory found: /dev/.udev
Warning: Hidden directory found: /dev/.initramfs
Premi=E8rement dois-je m'en inqui=E9ter.
Deuxi=E8mement ,si non comment supprimer ces alertes du rapport car la comm=
ande =20
rkhunter --propupd ni fait rien.
Merci
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/201101031059.15064.a.le-bigot@orange.fr
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
steve
Le 03-01-2011, à 10:59:14 +0100, a.lb () a écrit :
Bonjour,
Salut,
Le rapport de rkhunter me dit ceci: Warning: Checking for possible rootkit strings [ Warning ] Found string 'hdparm' in file '/etc/init.d/.depend.boot'. Possible rootkit: Xzibit Rootkit Found string 'hdparm' in file '/etc/init.d/hdparm'. Possible rootkit: Xzibit Rootkit Warning: Hidden directory found: /dev/.udev Warning: Hidden directory found: /dev/.initramfs
Premièrement dois-je m'en inquiéter.
Peut-être, mais peut-être pas, c'est difficile à dire ainsi. (Mais je ne crois pas).
Deuxièmement ,si non comment supprimer ces alertes du rapport car la commande rkhunter --propupd ni fait rien.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
Le 03-01-2011, à 10:59:14 +0100, a.lb (a.le-bigot@orange.fr) a écrit :
Bonjour,
Salut,
Le rapport de rkhunter me dit ceci:
Warning: Checking for possible rootkit strings [ Warning ]
Found string 'hdparm' in file '/etc/init.d/.depend.boot'. Possible
rootkit: Xzibit Rootkit
Found string 'hdparm' in file '/etc/init.d/hdparm'. Possible rootkit:
Xzibit Rootkit
Warning: Hidden directory found: /dev/.udev
Warning: Hidden directory found: /dev/.initramfs
Premièrement dois-je m'en inquiéter.
Peut-être, mais peut-être pas, c'est difficile à dire ainsi. (Mais je ne
crois pas).
Deuxièmement ,si non comment supprimer ces alertes du rapport car la commande
rkhunter --propupd ni fait rien.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/20110103102246.GA12733@localdomain
Le 03-01-2011, à 10:59:14 +0100, a.lb () a écrit :
Bonjour,
Salut,
Le rapport de rkhunter me dit ceci: Warning: Checking for possible rootkit strings [ Warning ] Found string 'hdparm' in file '/etc/init.d/.depend.boot'. Possible rootkit: Xzibit Rootkit Found string 'hdparm' in file '/etc/init.d/hdparm'. Possible rootkit: Xzibit Rootkit Warning: Hidden directory found: /dev/.udev Warning: Hidden directory found: /dev/.initramfs
Premièrement dois-je m'en inquiéter.
Peut-être, mais peut-être pas, c'est difficile à dire ainsi. (Mais je ne crois pas).
Deuxièmement ,si non comment supprimer ces alertes du rapport car la commande rkhunter --propupd ni fait rien.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
tv.debian
Le 03/01/2011 10:59, a.lb a écrit :
Bonjour, Le rapport de rkhunter me dit ceci: Warning: Checking for possible rootkit strings [ Warning ] Found string 'hdparm' in file '/etc/init.d/.depend.boot'. Possible rootkit: Xzibit Rootkit Found string 'hdparm' in file '/etc/init.d/hdparm'. Possible rootkit: Xzibit Rootkit Warning: Hidden directory found: /dev/.udev Warning: Hidden directory found: /dev/.initramfs
Premièrement dois-je m'en inquiéter.
Deuxièmement ,si non comment supprimer ces alertes du rapport car la commande rkhunter --propupd ni fait rien. Merci
Salut,
c'est un bug de rkhunter qui a été corrigé dans Ubuntu, il semble qu'il soit toujours présent dans Debian ?
En gros rkhunter cherche des expressions qui sont les "signatures" de rootkit "xzibit" dans les lignes de commentaires des fichiers sous /etc/init.d, le patch d'Ubuntu corrige ce comportement.
Si un bug n'est pas ouvert pour la version Debian ça serait une bonne idée de le faire, c'est une meilleur solution que de mettre en liste blanche les fichiers visés, au cas où un jour ils soient vraiment la cible de "xzibit" ou autre joyeuseté...
rkhunter provoque pas mal de faux positif, on peut éviter les crises cardiaques systématiques en googlant un peu les messages d'alerte en général.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
Le 03/01/2011 10:59, a.lb a écrit :
Bonjour,
Le rapport de rkhunter me dit ceci:
Warning: Checking for possible rootkit strings [ Warning ]
Found string 'hdparm' in file '/etc/init.d/.depend.boot'. Possible
rootkit: Xzibit Rootkit
Found string 'hdparm' in file '/etc/init.d/hdparm'. Possible rootkit:
Xzibit Rootkit
Warning: Hidden directory found: /dev/.udev
Warning: Hidden directory found: /dev/.initramfs
Premièrement dois-je m'en inquiéter.
Deuxièmement ,si non comment supprimer ces alertes du rapport car la commande
rkhunter --propupd ni fait rien.
Merci
Salut,
c'est un bug de rkhunter qui a été corrigé dans Ubuntu, il semble qu'il
soit toujours présent dans Debian ?
En gros rkhunter cherche des expressions qui sont les "signatures" de
rootkit "xzibit" dans les lignes de commentaires des fichiers sous
/etc/init.d, le patch d'Ubuntu corrige ce comportement.
Si un bug n'est pas ouvert pour la version Debian ça serait une bonne
idée de le faire, c'est une meilleur solution que de mettre en liste
blanche les fichiers visés, au cas où un jour ils soient vraiment la
cible de "xzibit" ou autre joyeuseté...
rkhunter provoque pas mal de faux positif, on peut éviter les crises
cardiaques systématiques en googlant un peu les messages d'alerte en
général.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/4D21AEA9.8040705@googlemail.com
Bonjour, Le rapport de rkhunter me dit ceci: Warning: Checking for possible rootkit strings [ Warning ] Found string 'hdparm' in file '/etc/init.d/.depend.boot'. Possible rootkit: Xzibit Rootkit Found string 'hdparm' in file '/etc/init.d/hdparm'. Possible rootkit: Xzibit Rootkit Warning: Hidden directory found: /dev/.udev Warning: Hidden directory found: /dev/.initramfs
Premièrement dois-je m'en inquiéter.
Deuxièmement ,si non comment supprimer ces alertes du rapport car la commande rkhunter --propupd ni fait rien. Merci
Salut,
c'est un bug de rkhunter qui a été corrigé dans Ubuntu, il semble qu'il soit toujours présent dans Debian ?
En gros rkhunter cherche des expressions qui sont les "signatures" de rootkit "xzibit" dans les lignes de commentaires des fichiers sous /etc/init.d, le patch d'Ubuntu corrige ce comportement.
Si un bug n'est pas ouvert pour la version Debian ça serait une bonne idée de le faire, c'est une meilleur solution que de mettre en liste blanche les fichiers visés, au cas où un jour ils soient vraiment la cible de "xzibit" ou autre joyeuseté...
rkhunter provoque pas mal de faux positif, on peut éviter les crises cardiaques systématiques en googlant un peu les messages d'alerte en général.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/20110103154041.GA13505@wxcvbn.org
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
Julien Valroff
Salut,
Le lundi 03 janv. 2011 à 12:10:33 (+0100), a écrit :
Le 03/01/2011 10:59, a.lb a écrit : > Bonjour, > Le rapport de rkhunter me dit ceci: > Warning: Checking for possible rootkit strings [ Warning ] > Found string 'hdparm' in file '/etc/init.d/.depend.boot'. Possible > rootkit: Xzibit Rootkit > Found string 'hdparm' in file '/etc/init.d/hdparm'. Possible rootkit: > Xzibit Rootkit
C'est un autre problème, rkhunter t'indique simplement qu'il a repéré des répertoires cachés à un endroit peu commun. Ces 2 répertoires sont normaux si tu as udev et initramfs-tools d'installés. Voir les commentaires dans /etc/rkhunter.conf pour savoir comment dire à rkhunter d'ignorer ces répertoires.
c'est un bug de rkhunter qui a été corrigé dans Ubuntu, il semble qu'il soit toujours présent dans Debian ?
Ce "bogue" est toujours présent dans la dernière version amont (1.3.8 dans experimental).
Il est très difficile de résoudre proprement le problème. Dans le rapport original, il est proposé de pouvoir spécifier le nombre d'occurences de la chaine autorisées dans chaque fichier. La solution n'est pas encore implémentée et est de toute façon un simple contournement.
La solution pour contourner les avertissements, tout en garantissant la meilleure détection possible est : 1. Exclure la détection de la chaîne "hdparm" du script d'initialisation 2. Ajouter le script au test d'intégrité 3. Dans le cas de ce problème, il faut également autoriser /etc/init.d/hdparm à être un script
Pour résumé, il faut ajouter à /etc/rkhunter.(conf|conf.local): RTKT_FILE_WHITELIST="/etc/init.d/.depend.boot:hdparm /etc/init.d/hdparm:hdparm" USER_FILEPROP_FILES_DIRS="/etc/init.d/.depend.boot /etc/init.d/hdparm" SCRIPTWHITELIST="/etc/init.d/hdparm"
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
Salut,
Le lundi 03 janv. 2011 à 12:10:33 (+0100), tv.debian@googlemail.com a écrit :
Le 03/01/2011 10:59, a.lb a écrit :
> Bonjour,
> Le rapport de rkhunter me dit ceci:
> Warning: Checking for possible rootkit strings [ Warning ]
> Found string 'hdparm' in file '/etc/init.d/.depend.boot'. Possible
> rootkit: Xzibit Rootkit
> Found string 'hdparm' in file '/etc/init.d/hdparm'. Possible rootkit:
> Xzibit Rootkit
C'est un autre problème, rkhunter t'indique simplement qu'il a repéré des
répertoires cachés à un endroit peu commun.
Ces 2 répertoires sont normaux si tu as udev et initramfs-tools d'installés.
Voir les commentaires dans /etc/rkhunter.conf pour savoir comment dire à
rkhunter d'ignorer ces répertoires.
c'est un bug de rkhunter qui a été corrigé dans Ubuntu, il semble qu'il
soit toujours présent dans Debian ?
Ce "bogue" est toujours présent dans la dernière version amont (1.3.8 dans
experimental).
Il est très difficile de résoudre proprement le problème. Dans le rapport
original, il est proposé de pouvoir spécifier le nombre d'occurences de la
chaine autorisées dans chaque fichier. La solution n'est pas encore
implémentée et est de toute façon un simple contournement.
La solution pour contourner les avertissements, tout en garantissant la
meilleure détection possible est :
1. Exclure la détection de la chaîne "hdparm" du script d'initialisation
2. Ajouter le script au test d'intégrité
3. Dans le cas de ce problème, il faut également autoriser
/etc/init.d/hdparm à être un script
Pour résumé, il faut ajouter à /etc/rkhunter.(conf|conf.local):
RTKT_FILE_WHITELIST="/etc/init.d/.depend.boot:hdparm /etc/init.d/hdparm:hdparm"
USER_FILEPROP_FILES_DIRS="/etc/init.d/.depend.boot /etc/init.d/hdparm"
SCRIPTWHITELIST="/etc/init.d/hdparm"
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/20110103190454.GB25919@kirya.net
Le lundi 03 janv. 2011 à 12:10:33 (+0100), a écrit :
Le 03/01/2011 10:59, a.lb a écrit : > Bonjour, > Le rapport de rkhunter me dit ceci: > Warning: Checking for possible rootkit strings [ Warning ] > Found string 'hdparm' in file '/etc/init.d/.depend.boot'. Possible > rootkit: Xzibit Rootkit > Found string 'hdparm' in file '/etc/init.d/hdparm'. Possible rootkit: > Xzibit Rootkit
C'est un autre problème, rkhunter t'indique simplement qu'il a repéré des répertoires cachés à un endroit peu commun. Ces 2 répertoires sont normaux si tu as udev et initramfs-tools d'installés. Voir les commentaires dans /etc/rkhunter.conf pour savoir comment dire à rkhunter d'ignorer ces répertoires.
c'est un bug de rkhunter qui a été corrigé dans Ubuntu, il semble qu'il soit toujours présent dans Debian ?
Ce "bogue" est toujours présent dans la dernière version amont (1.3.8 dans experimental).
Il est très difficile de résoudre proprement le problème. Dans le rapport original, il est proposé de pouvoir spécifier le nombre d'occurences de la chaine autorisées dans chaque fichier. La solution n'est pas encore implémentée et est de toute façon un simple contournement.
La solution pour contourner les avertissements, tout en garantissant la meilleure détection possible est : 1. Exclure la détection de la chaîne "hdparm" du script d'initialisation 2. Ajouter le script au test d'intégrité 3. Dans le cas de ce problème, il faut également autoriser /etc/init.d/hdparm à être un script
Pour résumé, il faut ajouter à /etc/rkhunter.(conf|conf.local): RTKT_FILE_WHITELIST="/etc/init.d/.depend.boot:hdparm /etc/init.d/hdparm:hdparm" USER_FILEPROP_FILES_DIRS="/etc/init.d/.depend.boot /etc/init.d/hdparm" SCRIPTWHITELIST="/etc/init.d/hdparm"