Interpréter les résultats de chrootkit

Haikai · 09/10/2005 13:20:54

Bonjour,
anxieux, j'ai installé chrootkit il y a quelques jours.
Depuis je recevais tous les jours un mail avec un positif (dhclient) qui, selon la doc, était un faux positif.
Mais ce matin s'est ajouté une autre ligne que je n'arrive pas à expliquer :

/etc/cron.daily/chkrootkit:
[b]/usr/lib/GNUstep/System/.GNUsteprc[/b]
eth1: PACKET SNIFFER(/sbin/dhclient[1870])

Après vérification j'ai bien un paquet gnustep-base installé (je ne sais pas pourquoi, une quelconque dépendance sans doute), mais le fichier mentionné ne figure pas dans la liste des fichiers installés. Quelqu'un saurait-il comment identifier un faux positif d'un vrai ?

Merci

arnaud · 12/10/2005 23:54:29

Salut,

Que contient ce fichier ? Personnellement je n'ai jamais eu ce genre de soucis avec chkrootkit... Je ne vois pas de manière simple de vérifier si c'est un faux positif ou non, si ce n'est de vérifier ce que reporte chkrootkit à la main (c'est généralement très rapide à faire).

++ Arnaud

Haikai · 13/10/2005 19:34:31

Eh bien, après vérification, voici ce que contient le fichier :

GNUSTEP_USER_ROOT=~/GNUstep

Est-ce que cela dit quelque chose à quelqu'un ? Pour moi ça semble plutôt anodin...

Malekal_morte · 14/10/2005 12:23:46

passe un coup de rkhunter ( http://www.rootkit.nl/ )
il vérifie ( entre autre ) l'integrité ( valeur md5 ) de tes fichiers binaires systèmes, pour voir s'ils n'ont pas été compromis et donc si y a pas un rookit d'installé.

à mon avis, ton truc c'est une gourde de chkrootkit, depuis deux semaines, il me met inetd infecté sur plusieurs machines..

braouazou · 14/10/2005 17:22:45

On ne peut pas dire que ce soit vraiment une gourde de chkrootkit : il ne fait que détecter la présence d'un fichier caché là où il ne devrait pas y en avoir, ou en tout cas, là il pourrait s'agir d'un rootkit...

Après, installer également rkhunter (maintenant disponible dans unstable :-) ) ne fera pas de mal, c'est vrai !

Dans ton cas, le fichier ne me semble pas être compromis du tout, mais il serait intéressant de savoir ce qu'il fait là. Je n'utilise pas GNUStep, mais quelqu'un qui l'aurait installé pourrait-il vérifier s'il existe également à cet endroit ?

@++

Malekal_morte · 15/10/2005 00:15:38

On ne peut pas dire que ce soit vraiment une gourde de chkrootkit : il ne fait que détecter la présence d'un fichier caché là où il ne devrait pas y en avoir, ou en tout cas, là il pourrait s'agir d'un rootkit...
[...]
Je n'utilise pas GNUStep, mais quelqu'un qui l'aurait installé pourrait-il vérifier s'il existe également à cet endroit ?

t'es pas le seul dans ce cas.
Ce serait plutot une gourde de chez GNUstep

http://lists.alioth.debian.org/pipermai … 00303.html

Haikai · 15/10/2005 01:27:00

Ah, OK merci pour le lien. Je me demandais vraiment pourquoi un fichier caché...
Mais bon, donc rien de bien méchant.

Malekal_morte · 15/10/2005 11:41:32

bha oui.
et puis un "rookit" juste sur un fichier caché c'est un peu léger.
tu peux pas faire grand chose avec ça.

Haikai · 21/10/2005 11:52:42

Bon, je relance ce fil, car tout de même il se passe quelque chose j'ai l'impression.

/etc/cron.daily/chkrootkit:
/usr/bin/strings: Warning: '/' is not an ordinary file
/usr/lib/GNUstep/System/.GNUsteprc
eth1: PACKET SNIFFER(/usr/sbin/wpa_supplicant[2713])

Quel peut être la signification de la première ligne concernant strings ?
Que signifie que / n'est pas un fichier ordinaire ?
Par ailleurs je remarque ces temps-ci un fort ralentissement au niveau de la bande passante (mais ça peut tout aussi bien venir de mon FAI, ça s'est déjà vu.

Malekal_morte · 23/10/2005 14:31:45

à mon avis c'est encore un faux positif, lui il a eu avec dhclient
lance un coup de rkhunter
sinon fais un nmap sur ta machine pour voir les ports ouverts et un coup de tcpdump
vérifie les md5 de tes fichiers systèmes.
etc.. etc..

Haikai · 23/10/2005 17:18:29

Merci de ta réponse. J'avais oublié que j'avais posté. :oops:
En fait j'ai résolu le problème. J'avais fait un arrêt du système sauvage juste avant. Après un petit check-up tout est rentré dans l'ordre. Je pense sérieusement supprimer chrootkit, parce que ça n'avance pas à grand chose et ça fait palpiter mon petit coeur sensible.
Par contre je vais me pencher sur ces mystérieuses commandes nmap et tcpdump.

Malekal_morte · 23/10/2005 17:46:06

oui elles sont pratiques.
sinon tu peux mettre en place des trucs comme AIDE ou LIDS mais c'est assez lourd. Si c'est un poste de travail, c'est pas la peine.

Sinon maintenir sa machine à jour, faire attention à ses comptes systèmes et à la limite interdire le chargement des modules sur le noyau, ça suffit déjà bien

Andesi - forum

#1 09/10/2005 13:20:54

Interpréter les résultats de chrootkit

#2 12/10/2005 23:54:29

Re : Interpréter les résultats de chrootkit

#3 13/10/2005 19:34:31

Re : Interpréter les résultats de chrootkit

#4 14/10/2005 12:23:46

Re : Interpréter les résultats de chrootkit

#5 14/10/2005 17:22:45

Re : Interpréter les résultats de chrootkit

#6 15/10/2005 00:15:38

Re : Interpréter les résultats de chrootkit

#7 15/10/2005 01:27:00

Re : Interpréter les résultats de chrootkit

#8 15/10/2005 11:41:32

Re : Interpréter les résultats de chrootkit

#9 21/10/2005 11:52:42

Re : Interpréter les résultats de chrootkit

#10 23/10/2005 14:31:45

Re : Interpréter les résultats de chrootkit

#11 23/10/2005 17:18:29

Re : Interpréter les résultats de chrootkit

#12 23/10/2005 17:46:06

Re : Interpréter les résultats de chrootkit

Pied de page des forums