2005-10-23T15:46:06Z

oui elles sont pratiques.
sinon tu peux mettre en place des trucs comme AIDE ou LIDS mais c'est assez lourd. Si c'est un poste de travail, c'est pas la peine.

Sinon maintenir sa machine à jour, faire attention à ses comptes systèmes et à la limite interdire le chargement des modules sur le noyau, ça suffit déjà bien

2005-10-23T15:18:29Z

Merci de ta réponse. J'avais oublié que j'avais posté. :oops:
En fait j'ai résolu le problème. J'avais fait un arrêt du système sauvage juste avant. Après un petit check-up tout est rentré dans l'ordre. Je pense sérieusement supprimer chrootkit, parce que ça n'avance pas à grand chose et ça fait palpiter mon petit coeur sensible.
Par contre je vais me pencher sur ces mystérieuses commandes nmap et tcpdump.

2005-10-23T12:31:45Z

à mon avis c'est encore un faux positif, lui il a eu avec dhclient
lance un coup de rkhunter
sinon fais un nmap sur ta machine pour voir les ports ouverts et un coup de tcpdump
vérifie les md5 de tes fichiers systèmes.
etc.. etc..

2005-10-21T09:52:42Z

Bon, je relance ce fil, car tout de même il se passe quelque chose j'ai l'impression.

/etc/cron.daily/chkrootkit:
/usr/bin/strings: Warning: '/' is not an ordinary file
/usr/lib/GNUstep/System/.GNUsteprc
eth1: PACKET SNIFFER(/usr/sbin/wpa_supplicant[2713])

Quel peut être la signification de la première ligne concernant strings ?
Que signifie que / n'est pas un fichier ordinaire ?
Par ailleurs je remarque ces temps-ci un fort ralentissement au niveau de la bande passante (mais ça peut tout aussi bien venir de mon FAI, ça s'est déjà vu.

2005-10-15T09:41:32Z

bha oui.
et puis un "rookit" juste sur un fichier caché c'est un peu léger.
tu peux pas faire grand chose avec ça.

2005-10-14T23:27:00Z

Ah, OK merci pour le lien. Je me demandais vraiment pourquoi un fichier caché...
Mais bon, donc rien de bien méchant.

2005-10-14T22:15:38Z

On ne peut pas dire que ce soit vraiment une gourde de chkrootkit : il ne fait que détecter la présence d'un fichier caché là où il ne devrait pas y en avoir, ou en tout cas, là il pourrait s'agir d'un rootkit...
[...]
Je n'utilise pas GNUStep, mais quelqu'un qui l'aurait installé pourrait-il vérifier s'il existe également à cet endroit ?

t'es pas le seul dans ce cas.
Ce serait plutot une gourde de chez GNUstep

http://lists.alioth.debian.org/pipermai … 00303.html

2005-10-14T15:22:45Z

On ne peut pas dire que ce soit vraiment une gourde de chkrootkit : il ne fait que détecter la présence d'un fichier caché là où il ne devrait pas y en avoir, ou en tout cas, là il pourrait s'agir d'un rootkit...

Après, installer également rkhunter (maintenant disponible dans unstable :-) ) ne fera pas de mal, c'est vrai !

Dans ton cas, le fichier ne me semble pas être compromis du tout, mais il serait intéressant de savoir ce qu'il fait là. Je n'utilise pas GNUStep, mais quelqu'un qui l'aurait installé pourrait-il vérifier s'il existe également à cet endroit ?

@++

2005-10-14T10:23:46Z

passe un coup de rkhunter ( http://www.rootkit.nl/ )
il vérifie ( entre autre ) l'integrité ( valeur md5 ) de tes fichiers binaires systèmes, pour voir s'ils n'ont pas été compromis et donc si y a pas un rookit d'installé.

à mon avis, ton truc c'est une gourde de chkrootkit, depuis deux semaines, il me met inetd infecté sur plusieurs machines..

2005-10-13T17:34:31Z

Eh bien, après vérification, voici ce que contient le fichier :

GNUSTEP_USER_ROOT=~/GNUstep

Est-ce que cela dit quelque chose à quelqu'un ? Pour moi ça semble plutôt anodin...

2005-10-12T21:54:29Z

Salut,

Que contient ce fichier ? Personnellement je n'ai jamais eu ce genre de soucis avec chkrootkit... Je ne vois pas de manière simple de vérifier si c'est un faux positif ou non, si ce n'est de vérifier ce que reporte chkrootkit à la main (c'est généralement très rapide à faire).

++ Arnaud

2005-10-09T11:20:54Z

Bonjour,
anxieux, j'ai installé chrootkit il y a quelques jours.
Depuis je recevais tous les jours un mail avec un positif (dhclient) qui, selon la doc, était un faux positif.
Mais ce matin s'est ajouté une autre ligne que je n'arrive pas à expliquer :

/etc/cron.daily/chkrootkit:
[b]/usr/lib/GNUstep/System/.GNUsteprc[/b]
eth1: PACKET SNIFFER(/sbin/dhclient[1870])

Après vérification j'ai bien un paquet gnustep-base installé (je ne sais pas pourquoi, une quelconque dépendance sans doute), mais le fichier mentionné ne figure pas dans la liste des fichiers installés. Quelqu'un saurait-il comment identifier un faux positif d'un vrai ?

Merci