Re: rapport rkhunter
Le 03/01/2011 10:59, a.lb a écrit :
> Bonjour,
> Le rapport de rkhunter me dit ceci:
> Warning: Checking for possible rootkit strings [ Warning ]
> Found string 'hdparm' in file '/etc/init.d/.depend.boot'. Possible
> rootkit: Xzibit Rootkit
> Found string 'hdparm' in file '/etc/init.d/hdparm'. Possible rootkit:
> Xzibit Rootkit
> Warning: Hidden directory found: /dev/.udev
> Warning: Hidden directory found: /dev/.initramfs
>
> Premièrement dois-je m'en inquiéter.
>
> Deuxièmement ,si non comment supprimer ces alertes du rapport car la commande
> rkhunter --propupd ni fait rien.
> Merci
>
Salut,
c'est un bug de rkhunter qui a été corrigé dans Ubuntu, il semble qu'il
soit toujours présent dans Debian ?
https://bugs.launchpad.net/ubuntu/+source/rkhunter/+bug/556455
En gros rkhunter cherche des expressions qui sont les "signatures" de
rootkit "xzibit" dans les lignes de commentaires des fichiers sous
/etc/init.d, le patch d'Ubuntu corrige ce comportement.
Si un bug n'est pas ouvert pour la version Debian ça serait une bonne
idée de le faire, c'est une meilleur solution que de mettre en liste
blanche les fichiers visés, au cas où un jour ils soient vraiment la
cible de "xzibit" ou autre joyeuseté...
rkhunter provoque pas mal de faux positif, on peut éviter les crises
cardiaques systématiques en googlant un peu les messages d'alerte en
général.
Reply to: