Re: chkrootkit et fichiers cachés dans /usr/lib/cgi-bin/

To: debian-user-french@lists.debian.org
Subject: Re: chkrootkit et fichiers cachés dans /usr/lib/cgi-bin/
From: Julien Valroff <julien-nospam@kirya.net>
Date: Sat, 15 Jan 2005 09:56:36 +0100
Message-id: <[🔎] 200501150956.36272.julien-nospam@kirya.net>
In-reply-to: <[🔎] 41E8D5CC.5090207@worldonline.fr>
References: <[🔎] 200501150903.15944.julien-nospam@kirya.net> <[🔎] 41E8D5CC.5090207@worldonline.fr>

Le Samedi 15 Janvier 2005 09:35, Michel Petit a écrit :
> Julien Valroff a écrit :
> > Bonjour la liste !
>
> Bonjour,
>
> > Depuis que j'ai placé des données dans /usr/lib/cgi-bin, je reçois chaque
> > matin une "alerte" de chkrootkit pour tous les fichiers cachés de ce
> > répertoires et de ces sous-répertoires (les .htaccess notamment).
> > chkrootkit est lancé par cron.
> >
> > Aucune autre information. Juste le listing de ces fichiers (et leur
> > chemin absolu). Si je place le répertoire cgi-bin ailleurs dans
> > l'arborescence et que je fais un lien symbolique dans /usr/lib/, je n'ai
> > plus ce message.
> >
> >
> > Lancé à la main, j'ai ce même listing après "Searching for suspicious
> > files and dirs, it may take a while..." (si je comprends le passage
> > autour de la ligne 428 de chkrootkit, il cherche dans /usr/lib/, et ne
> > doit pas suivre les liens)
> > J'aimerais pouvoir ignorer ces fichiers un à un, mais dans la [1]FAQ,
> > voilà ce que je trouve :
> > #  chkrootkit signale certains fichiers et répertoires comme étant
> > suspects : `.packlist', `.cvsignore', etc. Ce sont clairement des faux
> > messages d'alerte. Ne pouvez vous pas les ignorer ?
> >
> > Ignorer des fichiers et des répertoire affaiblirait l'efficacité de
> > chkrootkit. Un pirate pourrait en profiter, sachant quels fichiers et
> > répertoires sont ignorés.
> >
> > J'en suis bien conscient, mais recevoir une 'fausse' alerte chaque matin
> > me fera sans doute l'ignorer à terme, et lorsque cela en sera une
> > vraie....
>
> La solution que j'ai retenue pour ça, est d'avoir un fichier de
> "référence". Je m'explique : je lance chkrootkit en redirigeant ses sorties
> dans ce fichier, ensuite je vérifie, s'il y a des alertes, que ce ne sont
> pas des vraies, puis finalement dans ma cron, je lance le chkrootkit et ne
> génère une alarme que si la sortie est différente de la "référence". S'il y
> a lieu, je met à jour mon fichier de référence.

Merci !

Intéressant en effet, ça me semble une solution plus que satisfaisante !
Concrètement, comment vérifie tu cette référence ? En passant par un fichier 
temporaire à chaque lancement de chkrootkit, puis en faisant un hash md5 et 
en comparant les sommes des 2 fichiers ?

Merci de m'en dire un peu plus, je ne suis pas un as de ce genre 
d'acrobaties ;-)

@++
Julien

Reply to:

Follow-Ups:
- Re: chkrootkit et fichiers cachés dans /usr/lib/cgi-bin/
  - From: manioul <manioul@manioul.org>
- Re: chkrootkit et fichiers cachés dans /usr/lib/cgi-bin/
  - From: Michel Petit <mpefra-nospam@worldonline.fr>

References:
- chkrootkit et fichiers cachés dans /usr/lib/cgi-bin/
  - From: Julien Valroff <julien-nospam@kirya.net>
- Re: chkrootkit et fichiers cachés dans /usr/lib/cgi-bin/
  - From: Michel Petit <mpefra-nospam@worldonline.fr>

Prev by Date: Re: installation de sarge : pb d'image iso
Next by Date: Re: [HS] Knoppix 3.4 et X11
Previous by thread: Re: chkrootkit et fichiers cachés dans /usr/lib/cgi-bin/
Next by thread: Re: chkrootkit et fichiers cachés dans /usr/lib/cgi-bin/
Index(es):
- Date
- Thread