Re: chkrootkit et fichiers =?ISO-8859-15?Q?cach=E9s_dans_/us?= =?ISO-8859-15?Q?r/lib/cgi-bin/?=

Sat, 15 Jan 2005 21:26:48 -0600 

Julien Valroff a �crit :

Le Samedi 15 Janvier 2005 09:35, Michel Petit a �crit :


Julien Valroff a �crit :


Bonjour la liste !


Bonjour,




...



La solution que j'ai retenue pour �a, est d'avoir un fichier de
"r�f�rence". Je m'explique : je lance chkrootkit en redirigeant ses sorties
dans ce fichier, ensuite je v�rifie, s'il y a des alertes, que ce ne sont
pas des vraies, puis finalement dans ma cron, je lance le chkrootkit et ne
g�n�re une alarme que si la sortie est diff�rente de la "r�f�rence". S'il y
a lieu, je met � jour mon fichier de r�f�rence.



Merci !

Int�ressant en effet, �a me semble une solution plus que satisfaisante !
Concr�tement, comment v�rifie tu cette r�f�rence ? En passant par un fichier temporaire � chaque lancement de chkrootkit, puis en faisant un hash md5 et en comparant les sommes des 2 fichiers ? 

Tu trouveras ci-joint le script et le fichier de r�f�rence.
Le fichier de r�f�rence est g�n�r� par un 'chkrootkit -q' lanc� � la main.
Le script tourne en cron (toutes les heures).
S'il g�n�re une sortie je recois un mail (via cron), mais le script pourrait envoyer lui-m�me le mail (mais j'ai la flemme ;) ).
Merci de m'en dire un peu plus, je ne suis pas un as de ce genre d'acrobaties ;-) 



Comme tu le vois peu d'acrobatie (enfin � mon go�t).
@+.
--
Michel

usr/lib/perl/5.8.0/auto/Storable/.packlist 
/usr/lib/plt/collects/readline/.DS_Store /usr/lib/bookmarker/images/.htaccess 
/usr/lib/bookmarker/lib/.htaccess /usr/lib/opengroupware.org/.libFoundation 
/usr/lib/opengroupware.org/.bash_history
/usr/lib/opengroupware.org/.libFoundation
eth0: PACKET SNIFFER(/sbin/dhclient[3192])

#!/bin/sh

OS_REL=`uname -r  | perl -ne 'if (/^(\d+\.\d+)\..*$/) {print "$1\n"} else {print $_}'`
case $OS_REL in
	2.4|2.6)
	/usr/sbin/chkrootkit -q > /tmp/$$
	diff /tmp/$$ /root/rootkit.ref > /tmp/diff.$$
	if [ $? -ne 0 ]
	then
		echo "============================================================"
		echo "=                Changement dans chkrootkit                ="
		echo "============================================================"
		cat /tmp/$$
		echo "============================================================"
		echo "=               Differences avec la reference              ="
		echo "============================================================"
		cat /tmp/diff.$$
	fi
	rm /tmp/$$ /tmp/diff.$$
	;;

	*)
#		echo "Non disponible dans cette versin du syst�me"
		;;
esac

Répondre à