J'ai fait un scan de chrootkit, et il a trouvé quelque chose, il ne dit pas de recommandations sur la détection des fichiers ou des répertoires. Des suggestions ?
Les résultats sont :
The following suspicious files and directories were found:
/usr/lib/debug/.build-id
/lib/modules/4.4.0-93-generic/vdso/.build-id
/lib/modules/4.4.0-92-generic/vdso/.build-id
/lib/modules/4.4.0-91-generic/vdso/.build-id
Ces fichiers/répertoires sont-ils liés à un logiciel (ou à plusieurs logiciels) ?
for thing in /usr/lib/debug/.build-id /lib/modules/4.4.0-93-generic/vdso/.build-id /lib/modules/4.4.0-92-generic/vdso/.build-id /lib/modules/4.4.0-91-generic/vdso/.build-id ; do
/bin/ls -ld $thing
/usr/bin/dpkg -S $thing
doneYMMV, mais sur MON Ubuntu 16.04.3LTS, cela montre :
$ for thing in /usr/lib/debug/.build-id /lib/modules/4.4.0-93-generic/vdso/.build-id /lib/modules/4.4.0-92-generic/vdso/.build-id /lib/modules/4.4.0-91-generic/vdso/.build-id ; do
> /bin/ls -ld $thing
> /usr/bin/dpkg -S $thing
> done
drwxr-xr-x 229 root root 4096 Aug 14 17:54 /usr/lib/debug/.build-id
python-bzrlib-dbg, tclcl-dbg, python2.7-dbg, libfltk1.3-dbg, graphicsmagick-dbg, python3-tk-dbg, python3-gdbm-dbg:amd64, libglib2.0-0-dbg:amd64, libkf5wallet5-dbg:amd64, libtk8.6-dbg:amd64, libtcl8.6-dbg:amd64, libc6-dbg:amd64, atanks-dbg, ballz-dbg, lyx-dbg, liblqr-1-0-dbg, ntfs-3g-dbg, python3.5-dbg, evolution-dbg, freeglut3-dbg:amd64, libgd-dbg:amd64, libgdk-pixbuf2.0-0-dbg:amd64: /usr/lib/debug/.build-id
drwxr-xr-x 5 root root 4096 Aug 28 18:31 /lib/modules/4.4.0-93-generic/vdso/.build-id
linux-image-4.4.0-93-generic: /lib/modules/4.4.0-93-generic/vdso/.build-id
drwxr-xr-x 5 root root 4096 Aug 15 19:30 /lib/modules/4.4.0-92-generic/vdso/.build-id
linux-image-4.4.0-92-generic: /lib/modules/4.4.0-92-generic/vdso/.build-id
/bin/ls: cannot access '/lib/modules/4.4.0-91-generic/vdso/.build-id': No such file or directory
dpkg-query: no path found matching pattern /lib/modules/4.4.0-91-generic/vdso/.build-idJe n'ai pas linux-image-4.4.0-91-generic installé.
C'est un résultat faussement positif de chkrootkit et montre la difficulté de tout ensemble préemballé de tests "Suis-je enraciné ?". Bien que les tests aient pu être bons au moment de l'emballage, ils sont en retard sur les changements de l'environnement à vérifier. Compte tenu de la forte probabilité de résultats faussement positifs, ce type d'outil ne doit être utilisé QUE comme une première étape, un déclencheur d'investigations plus poussées. La compréhension doit précéder l'action.
SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.
