Re: chkrootkit: suspicious files and dirs -- perl5 et apache2 ?
"ml-spam-delete@tiscali.fr" <ml-spam-delete@tiscali.fr> writes:
> Bonjour,
>
> lors d'un chkrootkit, je trouve ceci (à l'exception des 5/6
> process LKM) dans les logs :
>
> Searching for suspicious files and dirs, it may take a while...
> /usr/lib/perl5/Bundle/.arch-ids
> /usr/lib/perl5/Apache/.arch-ids
> /usr/lib/perl5/Apache2/.arch-ids
> /usr/lib/perl5/Apache2/Apache/.arch-ids
> /usr/lib/perl5/Apache2/Apache/PerlSections/.arch-ids
> /usr/lib/perl5/Apache2/ModPerl/.arch-ids
> /usr/lib/perl5/Apache2/APR/.arch-ids
> /usr/lib/perl5/Apache2/Bundle/.arch-ids
> /usr/lib/perl5/.arch-ids /usr/lib/electric/.cadrc
> /usr/lib/perl5/Bundle/.arch-ids
> /usr/lib/perl5/Apache/.arch-ids
> /usr/lib/perl5/Apache2/.arch-ids
> /usr/lib/perl5/Apache2/Apache/.arch-ids
> /usr/lib/perl5/Apache2/Apache/PerlSections/.arch-ids
> /usr/lib/perl5/Apache2/ModPerl/.arch-ids
> /usr/lib/perl5/Apache2/APR/.arch-ids
> /usr/lib/perl5/Apache2/Bundle/.arch-ids /usr/lib/perl5/.arch-ids
>
> auparavant (avant de partir en vacances) je n'avais pas
> cette partie de log (apache2 est ouvert constamment). dois
> je m'inquiéter de cette indication ou est ce "normal" ? est
> ce juste une indication de fichiers ou de directory
> sensibles aux attaques? pourquoi cette indication soudaine?
> J'ai fermé apache, pour le moment.
Les système de contrôle de version 'arch'[1] utilise des répertoires
nommés '.arch-ids', un peu comme cvs qui met des répertoires 'CVS' un
peu partout. Il se peut que soit upstream, soit le mainteneur du
paquet se soit mis à utiliser arch/tla, et que par je ne sais trop
quel bizarrerie ça se soit retrouvé packagé.
Après, pourquoi chkrootkit tique, pas la moindre idée. Il y a une FAQ
similaire (.cvsignore) sur chkrootkit.org qui dit que bien qu'il
s'agisse clairement de faux positifs, chkrootkit ne peut pas
simplement ignorer ces répertoires. Je pense que n'importe quel
fichier/répertoire dont le nom commence par '.' sous /usr/bin ou
/usr/lib est suspect - /usr/share/doc/chkrootkit/README.Debian indique
par exemple que les '.svn' de subversion le font aussi réagir.
Footnotes:
[1] http://regexps.srparish.net/www/ - très bien, soit dit en passant.
Reply to: