Le Samedi 15 Janvier 2005 09:35, Michel Petit a écrit : > Julien Valroff a écrit : > > Bonjour la liste ! > > Bonjour, > > > Depuis que j'ai placé des données dans /usr/lib/cgi-bin, je reçois chaque > > matin une "alerte" de chkrootkit pour tous les fichiers cachés de ce > > répertoires et de ces sous-répertoires (les .htaccess notamment). > > chkrootkit est lancé par cron. > > > > Aucune autre information. Juste le listing de ces fichiers (et leur > > chemin absolu). Si je place le répertoire cgi-bin ailleurs dans > > l'arborescence et que je fais un lien symbolique dans /usr/lib/, je n'ai > > plus ce message. > > > > > > Lancé à la main, j'ai ce même listing après "Searching for suspicious > > files and dirs, it may take a while..." (si je comprends le passage > > autour de la ligne 428 de chkrootkit, il cherche dans /usr/lib/, et ne > > doit pas suivre les liens) > > J'aimerais pouvoir ignorer ces fichiers un à un, mais dans la [1]FAQ, > > voilà ce que je trouve : > > # chkrootkit signale certains fichiers et répertoires comme étant > > suspects : `.packlist', `.cvsignore', etc. Ce sont clairement des faux > > messages d'alerte. Ne pouvez vous pas les ignorer ? > > > > Ignorer des fichiers et des répertoire affaiblirait l'efficacité de > > chkrootkit. Un pirate pourrait en profiter, sachant quels fichiers et > > répertoires sont ignorés. > > > > J'en suis bien conscient, mais recevoir une 'fausse' alerte chaque matin > > me fera sans doute l'ignorer à terme, et lorsque cela en sera une > > vraie.... > > La solution que j'ai retenue pour ça, est d'avoir un fichier de > "référence". Je m'explique : je lance chkrootkit en redirigeant ses sorties > dans ce fichier, ensuite je vérifie, s'il y a des alertes, que ce ne sont > pas des vraies, puis finalement dans ma cron, je lance le chkrootkit et ne > génère une alarme que si la sortie est différente de la "référence". S'il y > a lieu, je met à jour mon fichier de référence.
Merci ! Intéressant en effet, ça me semble une solution plus que satisfaisante ! Concrètement, comment vérifie tu cette référence ? En passant par un fichier temporaire à chaque lancement de chkrootkit, puis en faisant un hash md5 et en comparant les sommes des 2 fichiers ? Merci de m'en dire un peu plus, je ne suis pas un as de ce genre d'acrobaties ;-) @++ Julien
