Re: chkrootkit et fichiers cachés dans /usr/lib/cgi-bin/
Le Samedi 15 Janvier 2005 12:31, Michel Petit a écrit :
> Julien Valroff a écrit :
> > Le Samedi 15 Janvier 2005 09:35, Michel Petit a écrit :
> >>Julien Valroff a écrit :
> >>>Bonjour la liste !
> >>
> >>Bonjour,
>
> ...
>
> >>La solution que j'ai retenue pour ça, est d'avoir un fichier de
> >>"référence". Je m'explique : je lance chkrootkit en redirigeant ses
> >> sorties dans ce fichier, ensuite je vérifie, s'il y a des alertes, que
> >> ce ne sont pas des vraies, puis finalement dans ma cron, je lance le
> >> chkrootkit et ne génère une alarme que si la sortie est différente de la
> >> "référence". S'il y a lieu, je met à jour mon fichier de référence.
> >
> > Merci !
> >
> > Intéressant en effet, ça me semble une solution plus que satisfaisante !
> > Concrètement, comment vérifie tu cette référence ? En passant par un
> > fichier temporaire à chaque lancement de chkrootkit, puis en faisant un
> > hash md5 et en comparant les sommes des 2 fichiers ?
>
> Tu trouveras ci-joint le script et le fichier de référence.
> Le fichier de référence est généré par un 'chkrootkit -q' lancé à la main.
> Le script tourne en cron (toutes les heures).
> S'il génère une sortie je recois un mail (via cron), mais le script
> pourrait envoyer lui-même le mail (mais j'ai la flemme ;) ).
>
> > Merci de m'en dire un peu plus, je ne suis pas un as de ce genre
> > d'acrobaties ;-)
>
> Comme tu le vois peu d'acrobatie (enfin à mon goût).
> @+.
Moins que je n'aurais pensé en effet ! J'avais oublié l'existence de ce
sympathique outil qu'est diff :o)
Pourquoi faire simple quand... ?!?
Je vais mettre cela en place. Merci encore pour ton aide.
Bon dimanche
Julien
Reply to: