Ce fil de discussion m'a fait me rappeler qu'il y a quelque temps j'avais eu des détections de fichiers suspects par rkhunter :
Subject: Cron <root@...> /root/bin/rkhunter.sh Warning: Suspicious file types found in /dev: /dev/shm/ShM.c5fa4b64H8dd08c52: data /root/rkhunter.sh : /tmp/chkrkhunter # /root/chkrkhunter.ref pour voir rkhunter complet faire : /usr/bin/rkhunter --check
lsof montre que ces fichiers qui ont les droits www-data sont utilisés par des process apache2
J'ai depuis filtré ces messages dans rkhunter.conf en considérant qu'il me semblait normal que apache utilise le dispositif de mémoire partagée et donc que c'était des faux positifs de rkhunter.
Francois Mescam
Bonjour à tous, Hier soir, je me suis aperçu qu'un serveur ramait énormément. En regardant de près, j'ai trouvé un exécutable étrange : /dev/shm/hwm avec les droits de www-data:www-data, un fichier de configuration et un autre programme (hwmon). /dev/shm/hwm utilisait 100% de chaque CPU. Je n'ai pas noté de trafic réseau anormal. J'ai viré les trois fichiers en question et j'ai inspecté en profondeur le système, je n'ai rien trouvé de plus. Je pense savoir comment il a été déposé ici (mais aucune trace dans les logs). Quelqu'un a-t-il déjà vu un truc pareil ? Je n'ai rien trouvé en googlisant. Bien cordialement, JB