[Linux-bruxelles] protection rootkit : rkhunter : faux positif !
Didier MISSON
didier.misson at total.com
Mar 13 Nov 11:07:31 CET 2007
linux-bruxelles-bounces at lists.bxlug.be wrote on 13/11/2007 02:32:50:
> RKHUNTER :
>
> Il me manque encore les mises à jour automatique de rkhunter et faire
> tourner rkhunter toutes les nuits.
>
> Pour rkhunter, c'est un peu plus génant :
>
> Il détecte 4 faux positifs : des fichiers cachés commençant par "/dev."
>
> [00:32:25] Checking for hidden files and directories [ Warning ]
> [00:32:25] Warning: Hidden directory found: /dev/.static
> [00:32:25] Warning: Hidden directory found: /dev/.udev
> [00:32:25] Warning: Hidden directory found: /dev/.initramfs
> [00:32:25] Warning: Hidden file found: /dev/.tmp-2-0: block special
(2/0)
>
> Ces fichiers sont bien normaux je pense ?
>
> De ce fait, il m'envoie un mail systématiquement :
>
>
> Sujet : [rkhunter] Warnings found for abrasd03
> De : root at server3@mondomaine.be
> Pour : didier at gmail.com
> ...
> Please inspect this machine, because it may be infected.
>
>
>
> Et tout ça sans détail...
> ce qui revient à dire "ça ne sert à rien, faut aller voir en SSH..."
>
> Comment supprimer ces faux positifs ?
>
> Quelques expli :
>
> http://didier.misson.net/didier/index.php?2007/11/12/156-
> configuration-et-securisation-d-un-serveur-ubuntu-gutsy-710
ok, l'explication sur les faux positifs dans Rkhuner se trouve sur leur
site :
http://www.rootkit.nl/articles/rootkit_hunter_howto_false_positives.html
Et le fichier "/dev/.tmp-2-0" semble être créé lors du boot d'Ubuntu Gutsy
7.10
Un bug a été ouvert à ce sujet :
https://bugs.launchpad.net/ubuntu/+source/udev/+bug/132546
Je vérifierai ça ce soir et j'ajouterai ces 4 dossiers à la "whitelist" de
rkhunter.
Bonne journée,
;-)
--
Didier
Plus d'informations sur la liste de diffusion Linux-bruxelles