chkrootkit et fichiers cachés dans /usr/lib/cgi-bin/
Bonjour la liste !
Depuis que j'ai placé des données dans /usr/lib/cgi-bin, je reçois chaque
matin une "alerte" de chkrootkit pour tous les fichiers cachés de ce
répertoires et de ces sous-répertoires (les .htaccess notamment). chkrootkit
est lancé par cron.
Aucune autre information. Juste le listing de ces fichiers (et leur chemin
absolu). Si je place le répertoire cgi-bin ailleurs dans l'arborescence et
que je fais un lien symbolique dans /usr/lib/, je n'ai plus ce message.
Lancé à la main, j'ai ce même listing après "Searching for suspicious files
and dirs, it may take a while..." (si je comprends le passage autour de la
ligne 428 de chkrootkit, il cherche dans /usr/lib/, et ne doit pas suivre les
liens)
J'aimerais pouvoir ignorer ces fichiers un à un, mais dans la [1]FAQ, voilà ce
que je trouve :
# chkrootkit signale certains fichiers et répertoires comme étant suspects :
`.packlist', `.cvsignore', etc. Ce sont clairement des faux messages
d'alerte. Ne pouvez vous pas les ignorer ?
Ignorer des fichiers et des répertoire affaiblirait l'efficacité de
chkrootkit. Un pirate pourrait en profiter, sachant quels fichiers et
répertoires sont ignorés.
J'en suis bien conscient, mais recevoir une 'fausse' alerte chaque matin me
fera sans doute l'ignorer à terme, et lorsque cela en sera une vraie....
Merci par avance pour vos conseils !
@+
Julien
[1] http://frenchkrootkit.free.fr/chkrootkit.org-mirror-fr/
Reply to: