Bonjour, snoopy <[EMAIL PROTECTED]> a écrit :
> En fait je vient de vérifier sur une machine d'un collègue sur laquelle > nous avons installer OpenExchange et donc Tomcat+Java et il apparait la > même arbo /etc/.java/ > Donc je suppose qu'il ne faut pas s'inquiéter plus que cela. > Par contre par sécurité un petit coup de chkroootkit ou mieux rkhunter > "http://www.rootkit.nl/projects/rootkit_hunter.html"; et ensuite lire le > fil que nous indique François Boisson qui est très instructif et lancer > son script pour trouver les processus caché (s'il y en a). Bon. le prg de F. Boisson tout d'abord. Je l'avais installer à l'époque de la version bash. Je viens de le réinstaller sous .deb ==> mauvais log reporter par logcheck que voici : Subject: Cron <[EMAIL PROTECTED]> /usr/bin/regarde Fatal error: uncaught exception. De plus chktootkit me renvoie ceci : ,---- | /usr/lib/realplay-10.0.4/share/default/.realplayerrc | | +/usr/lib/zope/lib/python/Products/Archetypes/content_driver/.DocBook.py.swp | | +/usr/lib/zope/lib/python/Products/COREBlog/help/.DS_Store | /usr/lib/zope/lib/python/Products/COREBlog/stripogram/.DS_Store | | +/usr/lib/zope/lib/python/Products/COREBlog/.DS_Store | /usr/lib/zope/lib/python/Products/COREBlog/dtml/.DS_Store | | +/usr/lib/zope/lib/python/Products/COREBlog/dtml/modules/.DS_Store | | +/usr/lib/zope/lib/python/Products/COREBlog/dtml/skin/.DS_Store | | +/usr/lib/zope/lib/python/Products/COREBlog/dtml/skin/default/.DS_Store | /usr/lib/j2se/1.4/jre/.systemPrefs | | +/usr/lib/j2se/1.4/jre/.systemPrefs/.systemRootModFile | /usr/lib/j2se/1.4/jre/.systemPrefs/.system.lock | | +/usr/lib/cgi-bin/nut/.htaccess /usr/lib/mindi/rootfs/proc/.keep | /usr/lib/mindi/rootfs/root/.profile /usr/lib/kaffe/.system | | /usr/lib/j2se/1.4/jre/.systemPrefs | | eth0: PACKET SNIFFER(/usr/sbin/prelude-nids[19379]) `---- Tout ça ne sont-ce point des faux positifs ? Surtout prelude-nids tout de même. par contre il me renvoie également ,---- | INFECTED (PORTS: 1524 31337) `---- alors là une petite recherche me donne : root # netstat -lnp | grep .*1524.*LISTEN tcp 0 0 0.0.0.0:1524 0.0.0.0:* LISTEN 5530/portsentry root # netstat -lnp | grep .*31337.*LISTEN tcp 0 0 0.0.0.0:31337 0.0.0.0:* LISTEN 5530/portsentry et root # ps auwex | grep -w [5]530 root 5530 0.0 0.0 1520 500 ? Ss Jul04 0:00 /usr/sbin/portsentry -tcp CONSOLE=/dev/console TERM=linux INIT_VERSION=sysvinit-2.86 PATH=/bin:/usr/bin:/sbin:/usr/sbin RUNLEVEL=3 runlevel=3 PWD=/ PREVLEVEL=N previous=N HOME=/ SHLVL=2 _=/usr/sbin/portsentry C'est mon portsentry. Alors franchement chkrootkit.... -- Philippe Monroux Ile de la Reunion E 55.3 S 21.5 -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
