[Linux-bruxelles] protection rootkit : rkhunter : faux positif !
Didier Misson
didier.linux at gmail.com
Mar 13 Nov 02:32:50 CET 2007
AlainBB a écrit :
>> Est-il intéressant d'utiliser ou installer un détecteur de rootkit ?
>
> J'ai aussi un serveur qui tourne sans torp de mal, mais je me posais la
> question aussi de sa sécurité (hacke 2x a cause de phpbb à l'époque (et
> de moi vu que je ne m'étais pas protégé))
>
> Je me demandais si on ne ferai pas un petit theme de discussion pour une
> prochaine lcp.
En tout cas, je me suis lancé...
A la fois avec chkrootkit et rkhunter.
J'ai bien avancé.
Je suis sur une machine en Ubuntu-server Gutsy 7.10 :
CHKROOTKIT :
chkrootkit tourne régulièrement (crontab) et m'envoie un mail à chaque fois.
Faut jeter un oeil rapide, il y a les détails....
Je ne sais pas s'il y a des mises à jour à faire pour chkrootkit (en
dehors du classique "aptitude update && aptitude dist-upgrade" ...
RKHUNTER :
Il me manque encore les mises à jour automatique de rkhunter et faire
tourner rkhunter toutes les nuits.
Pour rkhunter, c'est un peu plus génant :
Il détecte 4 faux positifs : des fichiers cachés commençant par "/dev."
[00:32:25] Checking for hidden files and directories [ Warning ]
[00:32:25] Warning: Hidden directory found: /dev/.static
[00:32:25] Warning: Hidden directory found: /dev/.udev
[00:32:25] Warning: Hidden directory found: /dev/.initramfs
[00:32:25] Warning: Hidden file found: /dev/.tmp-2-0: block special (2/0)
Ces fichiers sont bien normaux je pense ?
De ce fait, il m'envoie un mail systématiquement :
Sujet : [rkhunter] Warnings found for abrasd03
De : root at server3@mondomaine.be
Pour : didier at gmail.com
...
Please inspect this machine, because it may be infected.
Et tout ça sans détail...
ce qui revient à dire "ça ne sert à rien, faut aller voir en SSH..."
Comment supprimer ces faux positifs ?
Quelques expli :
http://didier.misson.net/didier/index.php?2007/11/12/156-configuration-et-securisation-d-un-serveur-ubuntu-gutsy-710
Merci
--
Didier
Google Talk : didier.misson at gmail.com
Jabber : didier.misson at amessage.be
http://didier.misson.net
Plus d'informations sur la liste de diffusion Linux-bruxelles