Julien Valroff a écrit :
Bonjour la liste !
Bonjour,
Depuis que j'ai placé des données dans /usr/lib/cgi-bin, je reçois chaque
matin une "alerte" de chkrootkit pour tous les fichiers cachés de ce
répertoires et de ces sous-répertoires (les .htaccess notamment). chkrootkit
est lancé par cron.
Aucune autre information. Juste le listing de ces fichiers (et leur chemin
absolu). Si je place le répertoire cgi-bin ailleurs dans l'arborescence et
que je fais un lien symbolique dans /usr/lib/, je n'ai plus ce message.
Lancé à la main, j'ai ce même listing après "Searching for suspicious files
and dirs, it may take a while..." (si je comprends le passage autour de la
ligne 428 de chkrootkit, il cherche dans /usr/lib/, et ne doit pas suivre les
liens)
J'aimerais pouvoir ignorer ces fichiers un à un, mais dans la [1]FAQ, voilà ce
que je trouve :
# chkrootkit signale certains fichiers et répertoires comme étant suspects :
`.packlist', `.cvsignore', etc. Ce sont clairement des faux messages
d'alerte. Ne pouvez vous pas les ignorer ?
Ignorer des fichiers et des répertoire affaiblirait l'efficacité de
chkrootkit. Un pirate pourrait en profiter, sachant quels fichiers et
répertoires sont ignorés.
J'en suis bien conscient, mais recevoir une 'fausse' alerte chaque matin me
fera sans doute l'ignorer à terme, et lorsque cela en sera une vraie....
La solution que j'ai retenue pour ça, est d'avoir un fichier de "référence".
Je m'explique : je lance chkrootkit en redirigeant ses sorties dans ce
fichier, ensuite je vérifie, s'il y a des alertes, que ce ne sont pas
des vraies, puis finalement dans ma cron, je lance le chkrootkit et ne
génère une alarme que si la sortie est différente de la "référence".
S'il y a lieu, je met à jour mon fichier de référence.
Merci par avance pour vos conseils !
Pas de quoi.
@+
Julien
--
Michel
