Sinon maintenir sa machine à jour, faire attention à ses comptes systèmes et à la limite interdire le chargement des modules sur le noyau, ça suffit déjà bien
]>/etc/cron.daily/chkrootkit:
/usr/bin/strings: Warning: '/' is not an ordinary file
/usr/lib/GNUstep/System/.GNUsteprc
eth1: PACKET SNIFFER(/usr/sbin/wpa_supplicant[2713])
Quel peut être la signification de la première ligne concernant strings ?
Que signifie que / n'est pas un fichier ordinaire ?
Par ailleurs je remarque ces temps-ci un fort ralentissement au niveau de la bande passante (mais ça peut tout aussi bien venir de mon FAI, ça s'est déjà vu.
On ne peut pas dire que ce soit vraiment une gourde de chkrootkit : il ne fait que détecter la présence d'un fichier caché là où il ne devrait pas y en avoir, ou en tout cas, là il pourrait s'agir d'un rootkit...
[...]
Je n'utilise pas GNUStep, mais quelqu'un qui l'aurait installé pourrait-il vérifier s'il existe également à cet endroit ?
t'es pas le seul dans ce cas.
Ce serait plutot une gourde de chez GNUstep
Après, installer également rkhunter (maintenant disponible dans unstable :-) ) ne fera pas de mal, c'est vrai !
Dans ton cas, le fichier ne me semble pas être compromis du tout, mais il serait intéressant de savoir ce qu'il fait là. Je n'utilise pas GNUStep, mais quelqu'un qui l'aurait installé pourrait-il vérifier s'il existe également à cet endroit ?
@++
]>à mon avis, ton truc c'est une gourde de chkrootkit, depuis deux semaines, il me met inetd infecté sur plusieurs machines..
]>GNUSTEP_USER_ROOT=~/GNUstep
Est-ce que cela dit quelque chose à quelqu'un ? Pour moi ça semble plutôt anodin...
]>Que contient ce fichier ? Personnellement je n'ai jamais eu ce genre de soucis avec chkrootkit... Je ne vois pas de manière simple de vérifier si c'est un faux positif ou non, si ce n'est de vérifier ce que reporte chkrootkit à la main (c'est généralement très rapide à faire).
++ Arnaud
]>/etc/cron.daily/chkrootkit:
[b]/usr/lib/GNUstep/System/.GNUsteprc[/b]
eth1: PACKET SNIFFER(/sbin/dhclient[1870])
Après vérification j'ai bien un paquet gnustep-base installé (je ne sais pas pourquoi, une quelconque dépendance sans doute), mais le fichier mentionné ne figure pas dans la liste des fichiers installés. Quelqu'un saurait-il comment identifier un faux positif d'un vrai ?
Merci
]>