Re: chkrootkit et fichiers cachés dans /usr/lib/cgi-bin/

To: debian-user-french@lists.debian.org
Subject: Re: chkrootkit et fichiers cachés dans /usr/lib/cgi-bin/
From: Michel Petit <mpefra-nospam@worldonline.fr>
Date: Sat, 15 Jan 2005 12:31:33 +0100
Message-id: <[🔎] 41E8FF15.1090508@worldonline.fr>
In-reply-to: <[🔎] 200501150956.36272.julien-nospam@kirya.net>
References: <[🔎] 200501150903.15944.julien-nospam@kirya.net> <[🔎] 41E8D5CC.5090207@worldonline.fr> <[🔎] 200501150956.36272.julien-nospam@kirya.net>

Julien Valroff a écrit :

Le Samedi 15 Janvier 2005 09:35, Michel Petit a écrit :

Julien Valroff a écrit :

Bonjour la liste !


Bonjour,

...


La solution que j'ai retenue pour ça, est d'avoir un fichier de
"référence". Je m'explique : je lance chkrootkit en redirigeant ses sorties
dans ce fichier, ensuite je vérifie, s'il y a des alertes, que ce ne sont
pas des vraies, puis finalement dans ma cron, je lance le chkrootkit et ne
génère une alarme que si la sortie est différente de la "référence". S'il y
a lieu, je met à jour mon fichier de référence.



Merci !

Intéressant en effet, ça me semble une solution plus que satisfaisante !

Concrètement, comment vérifie tu cette référence ? En passant par un fichiertemporaire à chaque lancement de chkrootkit, puis en faisant un hash md5 eten comparant les sommes des 2 fichiers ?


Tu trouveras ci-joint le script et le fichier de référence.
Le fichier de référence est généré par un 'chkrootkit -q' lancé à la main.
Le script tourne en cron (toutes les heures).

S'il génère une sortie je recois un mail (via cron), mais le scriptpourrait envoyer lui-même le mail (mais j'ai la flemme ;) ).

Merci de m'en dire un peu plus, je ne suis pas un as de ce genred'acrobaties ;-)


Comme tu le vois peu d'acrobatie (enfin à mon goût).
@+.
--
Michel

usr/lib/perl/5.8.0/auto/Storable/.packlist /usr/lib/plt/collects/readline/.DS_Store /usr/lib/bookmarker/images/.htaccess /usr/lib/bookmarker/lib/.htaccess /usr/lib/opengroupware.org/.libFoundation /usr/lib/opengroupware.org/.bash_history
/usr/lib/opengroupware.org/.libFoundation
eth0: PACKET SNIFFER(/sbin/dhclient[3192])

#!/bin/sh

OS_REL=`uname -r  | perl -ne 'if (/^(\d+\.\d+)\..*$/) {print "$1\n"} else {print $_}'`
case $OS_REL in
	2.4|2.6)
	/usr/sbin/chkrootkit -q > /tmp/$$
	diff /tmp/$$ /root/rootkit.ref > /tmp/diff.$$
	if [ $? -ne 0 ]
	then
		echo "============================================================"
		echo "=                Changement dans chkrootkit                ="
		echo "============================================================"
		cat /tmp/$$
		echo "============================================================"
		echo "=               Differences avec la reference              ="
		echo "============================================================"
		cat /tmp/diff.$$
	fi
	rm /tmp/$$ /tmp/diff.$$
	;;

	*)
#		echo "Non disponible dans cette versin du système"
		;;
esac

Reply to:

Follow-Ups:
- Re: chkrootkit et fichiers cachés dans /usr/lib/cgi-bin/
  - From: Julien Valroff <julien-nospam@kirya.net>

References:
- chkrootkit et fichiers cachés dans /usr/lib/cgi-bin/
  - From: Julien Valroff <julien-nospam@kirya.net>
- Re: chkrootkit et fichiers cachés dans /usr/lib/cgi-bin/
  - From: Michel Petit <mpefra-nospam@worldonline.fr>
- Re: chkrootkit et fichiers cachés dans /usr/lib/cgi-bin/
  - From: Julien Valroff <julien-nospam@kirya.net>

Prev by Date: Epson Aculaser C900
Next by Date: Re: /etc/apt/sources.list
Previous by thread: Re: chkrootkit et fichiers cachés dans /usr/lib/cgi-bin/
Next by thread: Re: chkrootkit et fichiers cachés dans /usr/lib/cgi-bin/
Index(es):
- Date
- Thread