Re: chkrootkit: suspicious files and dirs -- perl5 et apache2 ?

To: debian-user-french@lists.debian.org
Subject: Re: chkrootkit: suspicious files and dirs -- perl5 et apache2 ?
From: raphael.berbain@free.fr (Raphaël Berbain)
Date: Mon, 23 Aug 2004 16:29:19 +0200
Message-id: <[🔎] 86fz6e7y2h.fsf@ID-110038.user.uni-berlin.de>
Mail-followup-to: debian-user-french@lists.debian.org
References: <[🔎] I2W7LC$CA72CA7AB3672D904A4AECB8544C0FE6@tiscali.fr>

"ml-spam-delete@tiscali.fr" <ml-spam-delete@tiscali.fr> writes:

> Bonjour,
> 
> lors d'un chkrootkit, je trouve ceci (à l'exception des 5/6
> process LKM) dans les logs :
> 
> Searching for suspicious files and dirs, it may take a while... 
> /usr/lib/perl5/Bundle/.arch-ids
> /usr/lib/perl5/Apache/.arch-ids
> /usr/lib/perl5/Apache2/.arch-ids
> /usr/lib/perl5/Apache2/Apache/.arch-ids
> /usr/lib/perl5/Apache2/Apache/PerlSections/.arch-ids
> /usr/lib/perl5/Apache2/ModPerl/.arch-ids
> /usr/lib/perl5/Apache2/APR/.arch-ids
> /usr/lib/perl5/Apache2/Bundle/.arch-ids
> /usr/lib/perl5/.arch-ids /usr/lib/electric/.cadrc
> /usr/lib/perl5/Bundle/.arch-ids
> /usr/lib/perl5/Apache/.arch-ids
> /usr/lib/perl5/Apache2/.arch-ids
> /usr/lib/perl5/Apache2/Apache/.arch-ids
> /usr/lib/perl5/Apache2/Apache/PerlSections/.arch-ids
> /usr/lib/perl5/Apache2/ModPerl/.arch-ids
> /usr/lib/perl5/Apache2/APR/.arch-ids
> /usr/lib/perl5/Apache2/Bundle/.arch-ids /usr/lib/perl5/.arch-ids
> 
> auparavant (avant de partir en vacances) je n'avais pas
> cette partie de log (apache2 est ouvert constamment). dois
> je m'inquiéter de cette indication ou est ce "normal" ? est
> ce juste une indication de fichiers ou de directory
> sensibles aux attaques? pourquoi cette indication soudaine?
> J'ai fermé apache, pour le moment.

Les système de contrôle de version 'arch'[1] utilise des répertoires
nommés '.arch-ids', un peu comme cvs qui met des répertoires 'CVS' un
peu partout.  Il se peut que soit upstream, soit le mainteneur du
paquet se soit mis à utiliser arch/tla, et que par je ne sais trop
quel bizarrerie ça se soit retrouvé packagé.

Après, pourquoi chkrootkit tique, pas la moindre idée.  Il y a une FAQ
similaire (.cvsignore) sur chkrootkit.org qui dit que bien qu'il
s'agisse clairement de faux positifs, chkrootkit ne peut pas
simplement ignorer ces répertoires.  Je pense que n'importe quel
fichier/répertoire dont le nom commence par '.' sous /usr/bin ou
/usr/lib est suspect - /usr/share/doc/chkrootkit/README.Debian indique
par exemple que les '.svn' de subversion le font aussi réagir.

Footnotes: 
[1] http://regexps.srparish.net/www/ - très bien, soit dit en passant.

Reply to:

References:
- chkrootkit: suspicious files and dirs -- perl5 et apache2 ?
  - From: "ml-spam-delete@tiscali.fr" <ml-spam-delete@tiscali.fr>

Prev by Date: BTS ? was : Problèmes avec poedit
Next by Date: Re: restore des fichiers
Previous by thread: chkrootkit: suspicious files and dirs -- perl5 et apache2 ?
Next by thread: Re: chkrootkit: suspicious files and dirs -- perl5 et apache2 ?
Index(es):
- Date
- Thread