Re: chkrootkit et portsentry

To: Laurent Guignard <lguignard.debian@gmail.com>
Cc: Debian User French <debian-user-french@lists.debian.org>
Subject: Re: chkrootkit et portsentry
From: patrickdos@free.fr
Date: Fri, 15 May 2009 13:42:53 +0200 (CEST)
Message-id: <[🔎] 2125440524.5247621242387773644.JavaMail.root@zimbra11-e2.priv.proxad.net>
In-reply-to: <688935005.5247151242387577878.JavaMail.root@zimbra11-e2.priv.proxad.net>

> Bonjour,

Hello


> En examinant un rapport de "chkrootkit" ce matin, je m'aperçois que
> j'ai une
> alerte sur trois ports signalés comme "INFECTED".
> Je regarde alors à quoi correspondent ces ports et là je vois que ce
> sont des
> ports utilisés par "portsentry".
> 
> Voici la ligne d'alerte que j'ai dans mes mails : 
> 	INFECTED (PORTS:  1524 6667 31337)
> 
> Je ne comprends pas trop car j'ai rarement regarder de manière
> approfondie ces
> logs, mais cela viens bien de "portsentry" (j'ai fais le test deux
> fois pour
> être certain).
> 

C'est le cas effectivement

> Y aurait-il un bug ou un configuratin spéciale de chkrootkit pour
> éviter cette
> réaction ?

Non c'est une réaction normal de chkrootkit 
Pour être sur que le service est sain vérifie les process avec PS en corrélation avec un netstat -anp
Et pour finir un scan nmap sur la lo (listenning des ports de porsentry)
 
> En plus chkrootkit renvoie des alertes sur les fichiers suivants :
> /usr/lib/xulrunner/.autoreg /usr/lib/jvm/.java-6-sun.jinfo
> /usr/lib/jvm/java-6-sun-1.6.0.12/.systemPrefs
> /usr/lib/xulrunner-1.9/.autoreg
> /lib/init/rw/.mdadm /lib/init/rw/.ramfs /lib/init/rw/.mdadm
> 
> chkrootkit ou est-ce normal ?
> 
Oui cela sont normaux ce sont des fichiers vides

Reply to:

Prev by Date: Re: Plus de touche "\" sous Emacs testing amd64
Next by Date: Re: Multi écran sous Lenny
Previous by thread: chkrootkit et portsentry
Next by thread: extremetuxracer et joystick
Index(es):
- Date
- Thread