Le Samedi 15 Janvier 2005 09:35, Michel Petit a �crit�: > Julien Valroff a �crit : > > Bonjour la liste ! > > Bonjour, > > > Depuis que j'ai plac� des donn�es dans /usr/lib/cgi-bin, je re�ois chaque > > matin une "alerte" de chkrootkit pour tous les fichiers cach�s de ce > > r�pertoires et de ces sous-r�pertoires (les .htaccess notamment). > > chkrootkit est lanc� par cron. > > > > Aucune autre information. Juste le listing de ces fichiers (et leur > > chemin absolu). Si je place le r�pertoire cgi-bin ailleurs dans > > l'arborescence et que je fais un lien symbolique dans /usr/lib/, je n'ai > > plus ce message. > > > > > > Lanc� � la main, j'ai ce m�me listing apr�s "Searching for suspicious > > files and dirs, it may take a while..." (si je comprends le passage > > autour de la ligne 428 de chkrootkit, il cherche dans /usr/lib/, et ne > > doit pas suivre les liens) > > J'aimerais pouvoir ignorer ces fichiers un � un, mais dans la [1]FAQ, > > voil� ce que je trouve : > > # chkrootkit signale certains fichiers et r�pertoires comme �tant > > suspects : `.packlist', `.cvsignore', etc. Ce sont clairement des faux > > messages d'alerte. Ne pouvez vous pas les ignorer ? > > > > Ignorer des fichiers et des r�pertoire affaiblirait l'efficacit� de > > chkrootkit. Un pirate pourrait en profiter, sachant quels fichiers et > > r�pertoires sont ignor�s. > > > > J'en suis bien conscient, mais recevoir une 'fausse' alerte chaque matin > > me fera sans doute l'ignorer � terme, et lorsque cela en sera une > > vraie.... > > La solution que j'ai retenue pour �a, est d'avoir un fichier de > "r�f�rence". Je m'explique : je lance chkrootkit en redirigeant ses sorties > dans ce fichier, ensuite je v�rifie, s'il y a des alertes, que ce ne sont > pas des vraies, puis finalement dans ma cron, je lance le chkrootkit et ne > g�n�re une alarme que si la sortie est diff�rente de la "r�f�rence". S'il y > a lieu, je met � jour mon fichier de r�f�rence.
Merci ! Int�ressant en effet, �a me semble une solution plus que satisfaisante ! Concr�tement, comment v�rifie tu cette r�f�rence ? En passant par un fichier temporaire � chaque lancement de chkrootkit, puis en faisant un hash md5 et en comparant les sommes des 2 fichiers ? Merci de m'en dire un peu plus, je ne suis pas un as de ce genre d'acrobaties ;-) @++ Julien
