"[EMAIL PROTECTED]" <[EMAIL PROTECTED]> writes: > Bonjour, > > lors d'un chkrootkit, je trouve ceci (� l'exception des 5/6 > process LKM) dans les logs : > > Searching for suspicious files and dirs, it may take a while... > /usr/lib/perl5/Bundle/.arch-ids > /usr/lib/perl5/Apache/.arch-ids > /usr/lib/perl5/Apache2/.arch-ids > /usr/lib/perl5/Apache2/Apache/.arch-ids > /usr/lib/perl5/Apache2/Apache/PerlSections/.arch-ids > /usr/lib/perl5/Apache2/ModPerl/.arch-ids > /usr/lib/perl5/Apache2/APR/.arch-ids > /usr/lib/perl5/Apache2/Bundle/.arch-ids > /usr/lib/perl5/.arch-ids /usr/lib/electric/.cadrc > /usr/lib/perl5/Bundle/.arch-ids > /usr/lib/perl5/Apache/.arch-ids > /usr/lib/perl5/Apache2/.arch-ids > /usr/lib/perl5/Apache2/Apache/.arch-ids > /usr/lib/perl5/Apache2/Apache/PerlSections/.arch-ids > /usr/lib/perl5/Apache2/ModPerl/.arch-ids > /usr/lib/perl5/Apache2/APR/.arch-ids > /usr/lib/perl5/Apache2/Bundle/.arch-ids /usr/lib/perl5/.arch-ids > > auparavant (avant de partir en vacances) je n'avais pas > cette partie de log (apache2 est ouvert constamment). dois > je m'inqui�ter de cette indication ou est ce "normal" ? est > ce juste une indication de fichiers ou de directory > sensibles aux attaques? pourquoi cette indication soudaine? > J'ai ferm� apache, pour le moment.
Les syst�me de contr�le de version 'arch'[1] utilise des r�pertoires nomm�s '.arch-ids', un peu comme cvs qui met des r�pertoires 'CVS' un peu partout. Il se peut que soit upstream, soit le mainteneur du paquet se soit mis � utiliser arch/tla, et que par je ne sais trop quel bizarrerie �a se soit retrouv� packag�. Apr�s, pourquoi chkrootkit tique, pas la moindre id�e. Il y a une FAQ similaire (.cvsignore) sur chkrootkit.org qui dit que bien qu'il s'agisse clairement de faux positifs, chkrootkit ne peut pas simplement ignorer ces r�pertoires. Je pense que n'importe quel fichier/r�pertoire dont le nom commence par '.' sous /usr/bin ou /usr/lib est suspect - /usr/share/doc/chkrootkit/README.Debian indique par exemple que les '.svn' de subversion le font aussi r�agir. Footnotes: [1] http://regexps.srparish.net/www/ - tr�s bien, soit dit en passant.
