Ce fil de discussion m'a fait me rappeler qu'il y a quelque temps
j'avais eu des détections de fichiers suspects par rkhunter :
Subject: Cron<root@...> /root/bin/rkhunter.sh
Warning: Suspicious file types found in /dev:
/dev/shm/ShM.c5fa4b64H8dd08c52: data
/root/rkhunter.sh : /tmp/chkrkhunter # /root/chkrkhunter.ref
pour voir rkhunter complet faire :
/usr/bin/rkhunter --check
lsof montre que ces fichiers qui ont les droits www-data sont utilisés
par des process apache2
J'ai depuis filtré ces messages dans rkhunter.conf en considérant
qu'il me semblait normal que apache utilise le dispositif de mémoire
partagée et donc que c'était des faux positifs de rkhunter.
Francois Mescam
Le 31/05/2023 à 09:55, BERTRAND Joël a écrit :
Bonjour à tous,
Hier soir, je me suis aperçu qu'un serveur ramait énormément. En
regardant de près, j'ai trouvé un exécutable étrange :
/dev/shm/hwm
avec les droits de www-data:www-data, un fichier de configuration et un
autre programme (hwmon). /dev/shm/hwm utilisait 100% de chaque CPU. Je
n'ai pas noté de trafic réseau anormal.
J'ai viré les trois fichiers en question et j'ai inspecté en profondeur
le système, je n'ai rien trouvé de plus. Je pense savoir comment il a
été déposé ici (mais aucune trace dans les logs).
Quelqu'un a-t-il déjà vu un truc pareil ? Je n'ai rien trouvé en
googlisant.
Bien cordialement,
JB
