"[EMAIL PROTECTED]" <[EMAIL PROTECTED]> writes: > Bonjour, > > lors d'un chkrootkit, je trouve ceci (à l'exception des 5/6 > process LKM) dans les logs : > > Searching for suspicious files and dirs, it may take a while... > /usr/lib/perl5/Bundle/.arch-ids > /usr/lib/perl5/Apache/.arch-ids > /usr/lib/perl5/Apache2/.arch-ids > /usr/lib/perl5/Apache2/Apache/.arch-ids > /usr/lib/perl5/Apache2/Apache/PerlSections/.arch-ids > /usr/lib/perl5/Apache2/ModPerl/.arch-ids > /usr/lib/perl5/Apache2/APR/.arch-ids > /usr/lib/perl5/Apache2/Bundle/.arch-ids > /usr/lib/perl5/.arch-ids /usr/lib/electric/.cadrc > /usr/lib/perl5/Bundle/.arch-ids > /usr/lib/perl5/Apache/.arch-ids > /usr/lib/perl5/Apache2/.arch-ids > /usr/lib/perl5/Apache2/Apache/.arch-ids > /usr/lib/perl5/Apache2/Apache/PerlSections/.arch-ids > /usr/lib/perl5/Apache2/ModPerl/.arch-ids > /usr/lib/perl5/Apache2/APR/.arch-ids > /usr/lib/perl5/Apache2/Bundle/.arch-ids /usr/lib/perl5/.arch-ids > > auparavant (avant de partir en vacances) je n'avais pas > cette partie de log (apache2 est ouvert constamment). dois > je m'inquiéter de cette indication ou est ce "normal" ? est > ce juste une indication de fichiers ou de directory > sensibles aux attaques? pourquoi cette indication soudaine? > J'ai fermé apache, pour le moment.
Les système de contrôle de version 'arch'[1] utilise des répertoires nommés '.arch-ids', un peu comme cvs qui met des répertoires 'CVS' un peu partout. Il se peut que soit upstream, soit le mainteneur du paquet se soit mis à utiliser arch/tla, et que par je ne sais trop quel bizarrerie ça se soit retrouvé packagé. Après, pourquoi chkrootkit tique, pas la moindre idée. Il y a une FAQ similaire (.cvsignore) sur chkrootkit.org qui dit que bien qu'il s'agisse clairement de faux positifs, chkrootkit ne peut pas simplement ignorer ces répertoires. Je pense que n'importe quel fichier/répertoire dont le nom commence par '.' sous /usr/bin ou /usr/lib est suspect - /usr/share/doc/chkrootkit/README.Debian indique par exemple que les '.svn' de subversion le font aussi réagir. Footnotes: [1] http://regexps.srparish.net/www/ - très bien, soit dit en passant.