Bonjour,
Depuis que je suis passé du kernel 2.4.27 au 2.6.12 (sarge),
RootKitHunter me demande de vérifier 3 répertoires:
/dev/.udevdb (contenu: rien)
/dev/.udev (contenu: /db et /failed)
/dev/.static (contenu: /dev)
Voici mes questions:
- d'où viennent ces fichiers?
- pourquoi rkhunter me demande t-il de les vérifier? (parce que les
slashs sont précédés d'un point?)
- puis-je les supprimer sans risque?
Mon changement de kernel s'est fait le 8/02 et tout fonctionne bien depuis.
D'autre part, je fais tourner chkrootkit (V.0.46) dans une tâche cron
chaque nuit et il me sort un avertissement depuis le changement de kernel:
/etc/cron.daily/chkrootkit:
You have 1 process hidden for readdir command
You have 1 process hidden for ps command
chkproc: Warning: Possible LKM Trojan installed
Ca m'a l'air d'un faux positif (?) après googlisation.
J'ai fait un debsums de coreutils, findutils et module-init-tools...RAS:
- ai-je oublié un fichier?
Puis j'ai tué les PID listés par chkproc -v -v, il m'en reste 9 qui
"refusent de mourir" (ils "réssuscitent";-)):
- ce sont des nautilus et des gnome-terminal (y a t-il un risque à les
laisser actifs, bien que n'apparaissant pas dans ls, par exemple)
Ai-je oublié quelque chose ?
Merci de m'avoir lu et aidé.
-----------------------------------------------------------------------
Ma clé GPG est disponible sur http://www.keyserver.net (0xD99B1A80)
-----------------------------------------------------------------------
_____________________________________________________
| Protégez votre vie privée: |
\|||/ | - Signez/chiffrez vos messages. __|
q o - p | Respectez celle des autres: | /
__mn__\_^_/_nm__| - Masquez les destinataires de vos mailings |/
|__________________________________________________/
Attachment:
smime.p7s
Description: S/MIME Cryptographic Signature