Bonjour la liste ! Depuis que j'ai placé des données dans /usr/lib/cgi-bin, je reçois chaque matin une "alerte" de chkrootkit pour tous les fichiers cachés de ce répertoires et de ces sous-répertoires (les .htaccess notamment). chkrootkit est lancé par cron.
Aucune autre information. Juste le listing de ces fichiers (et leur chemin absolu). Si je place le répertoire cgi-bin ailleurs dans l'arborescence et que je fais un lien symbolique dans /usr/lib/, je n'ai plus ce message. Lancé à la main, j'ai ce même listing après "Searching for suspicious files and dirs, it may take a while..." (si je comprends le passage autour de la ligne 428 de chkrootkit, il cherche dans /usr/lib/, et ne doit pas suivre les liens) J'aimerais pouvoir ignorer ces fichiers un à un, mais dans la [1]FAQ, voilà ce que je trouve : # chkrootkit signale certains fichiers et répertoires comme étant suspects : `.packlist', `.cvsignore', etc. Ce sont clairement des faux messages d'alerte. Ne pouvez vous pas les ignorer ? Ignorer des fichiers et des répertoire affaiblirait l'efficacité de chkrootkit. Un pirate pourrait en profiter, sachant quels fichiers et répertoires sont ignorés. J'en suis bien conscient, mais recevoir une 'fausse' alerte chaque matin me fera sans doute l'ignorer à terme, et lorsque cela en sera une vraie.... Merci par avance pour vos conseils ! @+ Julien [1] http://frenchkrootkit.free.fr/chkrootkit.org-mirror-fr/
