Re: rapport rkhunter
Le 5 janvier 2011 20:41, Jean-Yves F. Barbier 12u...@gmail.com a écrit : Deuxièmement ,si non comment supprimer ces alertes du rapport car la commande rkhunter --propupd ni fait rien. laisse tomber cette daube: il ne fait que te renvoyer des faux positifs. une alternative ? Cheers.
Re: rapport rkhunter
Bonsoir, Le Thursday 13 January 2011 23:16:50 Cornichon, vous avez écrit : Le 5 janvier 2011 20:41, Jean-Yves F. Barbier 12u...@gmail.com a écrit : Deuxièmement ,si non comment supprimer ces alertes du rapport car la commande rkhunter --propupd ni fait rien. laisse tomber cette daube: il ne fait que te renvoyer des faux positifs. une alternative ? chkrootkit Cheers. Chüss -- Serge -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/201101140001.17158.debse...@free.fr
Re: rapport rkhunter
merci. Le 14 janvier 2011 00:01, Serge Cavailles debse...@free.fr a écrit : Bonsoir, Le Thursday 13 January 2011 23:16:50 Cornichon, vous avez écrit : Le 5 janvier 2011 20:41, Jean-Yves F. Barbier 12u...@gmail.com a écrit : Deuxièmement ,si non comment supprimer ces alertes du rapport car la commande rkhunter --propupd ni fait rien. laisse tomber cette daube: il ne fait que te renvoyer des faux positifs. une alternative ? chkrootkit Cheers. Chüss -- Serge -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/201101140001.17158.debse...@free.fr
rapport rkhunter
Bonjour, Le rapport de rkhunter me dit ceci: Warning: Checking for possible rootkit strings[ Warning ] Found string 'hdparm' in file '/etc/init.d/.depend.boot'. Possible rootkit: Xzibit Rootkit Found string 'hdparm' in file '/etc/init.d/hdparm'. Possible rootkit: Xzibit Rootkit Warning: Hidden directory found: /dev/.udev Warning: Hidden directory found: /dev/.initramfs Premièrement dois-je m'en inquiéter. Deuxièmement ,si non comment supprimer ces alertes du rapport car la commande rkhunter --propupd ni fait rien. Merci -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/201101052020.51971.a.le-bi...@orange.fr
Re: rapport rkhunter
On Wed, 5 Jan 2011 20:20:51 +0100, a.lb a.le-bi...@orange.fr wrote: Le rapport de rkhunter me dit ceci: Warning: Checking for possible rootkit strings[ Warning ] Found string 'hdparm' in file '/etc/init.d/.depend.boot'. Possible rootkit: Xzibit Rootkit Found string 'hdparm' in file '/etc/init.d/hdparm'. Possible rootkit: Xzibit Rootkit Warning: Hidden directory found: /dev/.udev Warning: Hidden directory found: /dev/.initramfs Premièrement dois-je m'en inquiéter. nan Deuxièmement ,si non comment supprimer ces alertes du rapport car la commande rkhunter --propupd ni fait rien. laisse tomber cette daube: il ne fait que te renvoyer des faux positifs. -- BOFH excuse #364: Sand fleas eating the Internet cables -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/20110105204153.3747e...@anubis.defcon1
Re: rapport rkhunter
Et merci de lire la liste / les archives de la liste avant de poster. -- Free software, free society. Jérémie Courrèges-Anglas GPG key : 06A11494 pgpINpr5htQj0.pgp Description: PGP signature
Re: rapport rkhunter
Le mercredi 05 janvier 2011, Jean-Yves F. Barbier a écrit : On Wed, 5 Jan 2011 20:20:51 +0100, a.lb a.le-bi...@orange.fr wrote: Le rapport de rkhunter me dit ceci: Warning: Checking for possible rootkit strings[ Warning ] Found string 'hdparm' in file '/etc/init.d/.depend.boot'. Possible rootkit: Xzibit Rootkit Found string 'hdparm' in file '/etc/init.d/hdparm'. Possible rootkit: Xzibit Rootkit Warning: Hidden directory found: /dev/.udev Warning: Hidden directory found: /dev/.initramfs Premièrement dois-je m'en inquiéter. nan Deuxièmement ,si non comment supprimer ces alertes du rapport car la commande rkhunter --propupd ni fait rien. laisse tomber cette daube: il ne fait que te renvoyer des faux positifs. D'accord merci. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/201101060755.50765.a.le-bi...@orange.fr
Re: rapport rkhunter
Le jeudi 06 janvier 2011, Jeremie COURREGES-ANGLAS a écrit : Et merci de lire la liste / les archives de la liste avant de poster. Ja wohl !Ich bin stupid. Danke mein herr. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/201101060805.54336.a.le-bi...@orange.fr
rapport rkhunter
Bonjour, Le rapport de rkhunter me dit ceci: Warning: Checking for possible rootkit strings[ Warning ] Found string 'hdparm' in file '/etc/init.d/.depend.boot'. Possible rootkit: Xzibit Rootkit Found string 'hdparm' in file '/etc/init.d/hdparm'. Possible rootkit: Xzibit Rootkit Warning: Hidden directory found: /dev/.udev Warning: Hidden directory found: /dev/.initramfs Premièrement dois-je m'en inquiéter. Deuxièmement ,si non comment supprimer ces alertes du rapport car la commande rkhunter --propupd ni fait rien. Merci -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/201101031059.15064.a.le-bi...@orange.fr
Re: rapport rkhunter
Le 03-01-2011, à 10:59:14 +0100, a.lb (a.le-bi...@orange.fr) a écrit : Bonjour, Salut, Le rapport de rkhunter me dit ceci: Warning: Checking for possible rootkit strings[ Warning ] Found string 'hdparm' in file '/etc/init.d/.depend.boot'. Possible rootkit: Xzibit Rootkit Found string 'hdparm' in file '/etc/init.d/hdparm'. Possible rootkit: Xzibit Rootkit Warning: Hidden directory found: /dev/.udev Warning: Hidden directory found: /dev/.initramfs Premièrement dois-je m'en inquiéter. Peut-être, mais peut-être pas, c'est difficile à dire ainsi. (Mais je ne crois pas). Deuxièmement ,si non comment supprimer ces alertes du rapport car la commande rkhunter --propupd ni fait rien. Ajouter dans /etc/rkhunter.conf la ligne : RTKT_FILE_WHITELIST=/etc/init.d/hdparm /etc/init.d/.depend.boot (et lire les commentaires de ce fichier...) Merci Pas de quoi. Bonne année ! s. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/20110103102246.ga12...@localdomain
Re: rapport rkhunter
Le 03/01/2011 10:59, a.lb a écrit : Bonjour, Le rapport de rkhunter me dit ceci: Warning: Checking for possible rootkit strings[ Warning ] Found string 'hdparm' in file '/etc/init.d/.depend.boot'. Possible rootkit: Xzibit Rootkit Found string 'hdparm' in file '/etc/init.d/hdparm'. Possible rootkit: Xzibit Rootkit Warning: Hidden directory found: /dev/.udev Warning: Hidden directory found: /dev/.initramfs Premièrement dois-je m'en inquiéter. Deuxièmement ,si non comment supprimer ces alertes du rapport car la commande rkhunter --propupd ni fait rien. Merci Salut, c'est un bug de rkhunter qui a été corrigé dans Ubuntu, il semble qu'il soit toujours présent dans Debian ? https://bugs.launchpad.net/ubuntu/+source/rkhunter/+bug/556455 En gros rkhunter cherche des expressions qui sont les signatures de rootkit xzibit dans les lignes de commentaires des fichiers sous /etc/init.d, le patch d'Ubuntu corrige ce comportement. Si un bug n'est pas ouvert pour la version Debian ça serait une bonne idée de le faire, c'est une meilleur solution que de mettre en liste blanche les fichiers visés, au cas où un jour ils soient vraiment la cible de xzibit ou autre joyeuseté... rkhunter provoque pas mal de faux positif, on peut éviter les crises cardiaques systématiques en googlant un peu les messages d'alerte en général. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/4d21aea9.8040...@googlemail.com
Re: rapport rkhunter
On Monday 03 January 2011 à 12:10:33PM, tv.deb...@googlemail.com wrote: Si un bug n'est pas ouvert pour la version Debian ça serait une bonne idée de le faire, c'est une meilleur solution que de mettre en liste blanche les fichiers visés, au cas où un jour ils soient vraiment la cible de xzibit ou autre joyeuseté... Une autre solution serait d'arrêter d'utiliser ce genre d'outils qui n'apporte rien au niveau sécurité. rkhunter provoque pas mal de faux positif, on peut éviter les crises cardiaques systématiques en googlant un peu les messages d'alerte en général. D'après des gens dotés de plus d'expérience que moi dans ce domaine, c'est même la seule chose que ce genre d'outils est capable de détecter (les faux positifs). Ce mail est se tranforme donc en appel à témoin : chkrootkit / rkhunter ont ils déjà donné des résultats chez vous ? (à part des faux positifs, donc) -- Free software, free society. Jérémie Courrèges-Anglas GPG key : 06A11494 pgpPgtOF2baY1.pgp Description: PGP signature
Re: rapport rkhunter
Salut, Le lundi 03 janv. 2011 à 12:10:33 (+0100), tv.deb...@googlemail.com a écrit : Le 03/01/2011 10:59, a.lb a écrit : Bonjour, Le rapport de rkhunter me dit ceci: Warning: Checking for possible rootkit strings[ Warning ] Found string 'hdparm' in file '/etc/init.d/.depend.boot'. Possible rootkit: Xzibit Rootkit Found string 'hdparm' in file '/etc/init.d/hdparm'. Possible rootkit: Xzibit Rootkit Voir ci-dessous Warning: Hidden directory found: /dev/.udev Warning: Hidden directory found: /dev/.initramfs C'est un autre problème, rkhunter t'indique simplement qu'il a repéré des répertoires cachés à un endroit peu commun. Ces 2 répertoires sont normaux si tu as udev et initramfs-tools d'installés. Voir les commentaires dans /etc/rkhunter.conf pour savoir comment dire à rkhunter d'ignorer ces répertoires. c'est un bug de rkhunter qui a été corrigé dans Ubuntu, il semble qu'il soit toujours présent dans Debian ? Ce bogue est toujours présent dans la dernière version amont (1.3.8 dans experimental). Voir : http://sourceforge.net/tracker/?func=detailaid=2951178group_id=155034atid=794187 Il est très difficile de résoudre proprement le problème. Dans le rapport original, il est proposé de pouvoir spécifier le nombre d'occurences de la chaine autorisées dans chaque fichier. La solution n'est pas encore implémentée et est de toute façon un simple contournement. La solution pour contourner les avertissements, tout en garantissant la meilleure détection possible est : 1. Exclure la détection de la chaîne hdparm du script d'initialisation 2. Ajouter le script au test d'intégrité 3. Dans le cas de ce problème, il faut également autoriser /etc/init.d/hdparm à être un script Pour résumé, il faut ajouter à /etc/rkhunter.(conf|conf.local): RTKT_FILE_WHITELIST=/etc/init.d/.depend.boot:hdparm /etc/init.d/hdparm:hdparm USER_FILEPROP_FILES_DIRS=/etc/init.d/.depend.boot /etc/init.d/hdparm SCRIPTWHITELIST=/etc/init.d/hdparm @+ Julien -- ,''`. Julien Valroff ~ jul...@kirya.net ~ jul...@debian.org : :' : Debian Developer Free software contributor `. `' http://www.kirya.net/ `-4096R/ E1D8 5796 8214 4687 E416 948C 859F EF67 258E 26B1 -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/20110103190454.gb25...@kirya.net
