Julien Valroff a �crit :
Bonjour la liste !
Bonjour,
Depuis que j'ai plac� des donn�es dans /usr/lib/cgi-bin, je re�ois chaque
matin une "alerte" de chkrootkit pour tous les fichiers cach�s de ce
r�pertoires et de ces sous-r�pertoires (les .htaccess notamment). chkrootkit
est lanc� par cron.
Aucune autre information. Juste le listing de ces fichiers (et leur chemin
absolu). Si je place le r�pertoire cgi-bin ailleurs dans l'arborescence et
que je fais un lien symbolique dans /usr/lib/, je n'ai plus ce message.
Lanc� � la main, j'ai ce m�me listing apr�s "Searching for suspicious files
and dirs, it may take a while..." (si je comprends le passage autour de la
ligne 428 de chkrootkit, il cherche dans /usr/lib/, et ne doit pas suivre les
liens)
J'aimerais pouvoir ignorer ces fichiers un � un, mais dans la [1]FAQ, voil� ce
que je trouve :
# chkrootkit signale certains fichiers et r�pertoires comme �tant suspects :
`.packlist', `.cvsignore', etc. Ce sont clairement des faux messages
d'alerte. Ne pouvez vous pas les ignorer ?
Ignorer des fichiers et des r�pertoire affaiblirait l'efficacit� de
chkrootkit. Un pirate pourrait en profiter, sachant quels fichiers et
r�pertoires sont ignor�s.
J'en suis bien conscient, mais recevoir une 'fausse' alerte chaque matin me
fera sans doute l'ignorer � terme, et lorsque cela en sera une vraie....
La solution que j'ai retenue pour �a, est d'avoir un fichier de "r�f�rence".
Je m'explique : je lance chkrootkit en redirigeant ses sorties dans ce
fichier, ensuite je v�rifie, s'il y a des alertes, que ce ne sont pas
des vraies, puis finalement dans ma cron, je lance le chkrootkit et ne
g�n�re une alarme que si la sortie est diff�rente de la "r�f�rence".
S'il y a lieu, je met � jour mon fichier de r�f�rence.
Merci par avance pour vos conseils !
Pas de quoi.
@+
Julien
--
Michel
