bonjour
rkhunter me dit que j’ai 7 fichiers suspects qui ont été modifiés, comment savoir si faux-positifs et si oui pourquoi ont ils été modifiés ? merci de m’expliquer si vous avez une idée
j’ai fais une mise à jour de 2011-11-06 08:59:36 upgrade linux-image-2.6.32-5-amd64 2.6.32-38 2.6.32-39 peut être l’explication

System checks summary [14:40:51] ===================== [14:40:51] [14:40:51] File properties checks... [14:40:51] Files checked: 130 [14:40:51] Suspect files: 7 [14:40:52] [14:40:52] Rootkit checks... [14:40:52] Rootkits checked : 242 [14:40:52] Possible rootkits: 2 [14:40:52] Rootkit names : Xzibit Rootkit, Xzibit Rootkit

[code]
[14:38:48] /bin/lsmod [ Warning ]
[14:38:48] Warning: The file properties have changed:
[14:38:48] File: /bin/lsmod
[14:38:48] Current hash: 4e5e06443e62e2cd7d6c31728071195616d17e99
[14:38:48] Stored hash : 47309995cff1b9e2a8927ef3a174d50f02b92971
[14:38:48] Current inode: 663892 Stored inode: 654132
[14:38:48] Current file modification time: 1320008021 (30-oct.-2011 21:53:41)
[14:38:48] Stored file modification time : 1277676585 (28-juin-2010 00:09:45)
[14:38:48] /bin/mktemp [ OK ]

[14:38:58] /usr/bin/w.procps [ OK ]
[14:38:59] /sbin/depmod [ Warning ]
[14:38:59] Warning: The file properties have changed:
[14:38:59] File: /sbin/depmod
[14:38:59] Current hash: b4c91452dd43cbdf61c15594b81b55e9081b1c75
[14:38:59] Stored hash : 2a4717eba60ff98b92799da4b9190794e6ae9ed0
[14:38:59] Current inode: 130931 Stored inode: 130959
[14:38:59] Current file modification time: 1320008021 (30-oct.-2011 21:53:41)
[14:38:59] Stored file modification time : 1277676585 (28-juin-2010 00:09:45)
[14:38:59] /sbin/ifconfig [ OK ]
[14:38:59] /sbin/ifdown [ OK ]
[14:38:59] /sbin/ifup [ OK ]
[14:38:59] /sbin/init [ OK ]
[14:38:59] /sbin/insmod [ Warning ]
[14:38:59] Warning: The file properties have changed:
[14:38:59] File: /sbin/insmod
[14:38:59] Current hash: 29f705c993b0444cdfbb5b11d3750a27723fad39
[14:39:00] Stored hash : 3de1345e87c8305a6eb78e8dd3d9846a91a038e0
[14:39:00] Current inode: 142181 Stored inode: 130962
[14:39:00] Current file modification time: 1320008021 (30-oct.-2011 21:53:41)
[14:39:00] Stored file modification time : 1277676585 (28-juin-2010 00:09:45)
[14:39:00] /sbin/ip [ OK ]
[14:39:00] /sbin/lsmod [ Warning ]
[14:39:00] Warning: The file properties have changed:
[14:39:00] File: /sbin/lsmod
[14:39:00] Current hash: 4e5e06443e62e2cd7d6c31728071195616d17e99
[14:39:00] Stored hash : 47309995cff1b9e2a8927ef3a174d50f02b92971
[14:39:00] Current inode: 142183 Stored inode: 130964
[14:39:00] Current file modification time: 1320056928 (31-oct.-2011 11:28:48)
[14:39:00] Stored file modification time : 1312874561 (09-août-2011 09:22:41)
[14:39:00] /sbin/modinfo [ Warning ]
[14:39:00] Warning: The file properties have changed:
[14:39:00] File: /sbin/modinfo
[14:39:00] Current hash: aa2cf44d1af2fd1a8bd29af4d50bada18075c72f
[14:39:00] Stored hash : 9dbc8f57bfc334c485fc028ee4506b1a801d85d8
[14:39:00] Current inode: 142045 Stored inode: 130960
[14:39:00] Current file modification time: 1320008021 (30-oct.-2011 21:53:41)
[14:39:00] Stored file modification time : 1277676585 (28-juin-2010 00:09:45)
[14:39:01] /sbin/modprobe [ Warning ]
[14:39:01] Warning: The file properties have changed:
[14:39:01] File: /sbin/modprobe
[14:39:01] Current hash: 43acb30443be6280a989c07f50b59b9f74bf9b10
[14:39:01] Stored hash : 8d91c04795e930607e1c2c3f464a6a2f77ff42ad
[14:39:01] Current inode: 142055 Stored inode: 130961
[14:39:01] Current file modification time: 1320008021 (30-oct.-2011 21:53:41)
[14:39:01] Stored file modification time : 1277676585 (28-juin-2010 00:09:45)
[14:39:01] /sbin/rmmod [ Warning ]
[14:39:01] Warning: The file properties have changed:
[14:39:01] File: /sbin/rmmod
[14:39:01] Current hash: 2da3e80056e4754cb27601701d758293ee8d84a5
[14:39:01] Stored hash : dddda86f48fdcd2f983bc11bdd40c5fcf584fa23
[14:39:01] Current inode: 142182 Stored inode: 130963
[14:39:01] Current file modification time: 1320008021 (30-oct.-2011 21:53:41)
[14:39:01] Stored file modification time : 1277676585 (28-juin-2010 00:09:45)[/code]

fais une recherche sur ce forum tout le monde l’a eu xzibit c’est un faux positif ensuite pour les fichiers suspect cela est dù la plupart du temps au mises a jour system qui modifie ceux-la…

Après chaque mise à jour il faut lancer la commande suivante afin de mettre à jour les MD5 :

[quote=“Niloo”]Après chaque mise à jour il faut lancer la commande suivante afin de mettre à jour les MD5 :

rkhunter --update; rkhunter --propupdate

Merci, je ne connaissait pas cette commande

ha ok j’avais bien fais la commande rkhunter --update après la mise à jour

mais pas celle ci : rkhunter --propupdate et depuis celle-ci les fichiers suspects n’apparaissent plus,
merci.

héhé c’est purquoi il est toujours interressant de lire le fucking man(ual)

linux.die.net/man/8/rkhunter

[quote]–propupd [{filename | directory | package name},…]
One of the checks rkhunter performs is to compare various current file properties of various commands, against those it has previously stored. This command option causes rkhunter to update its data file of stored values with the current values. [/quote]

Bizarre :

ricardo@sid-sda8:~$ sudo rkhunter --update, rkhunter --propupdate [sudo] password for ricardo: Invalid option specified: --update,
perso, je faisais
rkhunter -c
rkhunter propupd

Ce qui pourrait être bien c’est de faire créer un fichier /etc/apt/apt.conf.d/98-rkhunter avec à l’interieur :

DPkg::Pre-Install-Pkgs { "rkhunter --update;" "rkhunter --propupdate"; };

Comme ça plus la peine d’y penser.

@ricardo > Tu as remplacé le ; par une ,

en effet, je m’en était rendu compte mais tu as répondu avant

[quote=“MisterFreez”]Ce qui pourrait être bien c’est de faire créer un fichier /etc/apt/apt.conf.d/98-rkhunter avec à l’interieur :

DPkg::Pre-Install-Pkgs { "rkhunter --update;" "rkhunter --propupdate"; };

Comme ça plus la peine d’y penser.
[/quote]

super thx a lot !! et tellement plus simple

Pour plus d’informations sur un éventuel ajout de ce fichier dans le package debian, il y a une discution qui a eu lieue dans les commentaires d’un rapport de bug. Comme je n’utilise pas ce HID et que j’ai pas vraiment le temps de lire en détail le fil, je vous le met en lien :
bugs.debian.org/cgi-bin/bugreport.cgi?bug=512087

[quote=“MisterFreez”]Ce qui pourrait être bien c’est de faire créer un fichier /etc/apt/apt.conf.d/98-rkhunter avec à l’interieur :

DPkg::Pre-Install-Pkgs { "rkhunter --update;" "rkhunter --propupdate"; };[/quote]
Ça serait pas plutôt en Post-Invoke qu’il faut le mettre, histoire de prendre en compte les fichiers installés / upgradés ?

[quote=“man apt.conf”]Pre-Install-Pkgs
Il s’agit d’une liste de commandes shell à exécuter [b]avant d’appeler dpkg/b. Tout comme pour Options, on doit utiliser la notation de liste. Les commandes sont appelées dans l’ordre, en utilisant /bin/sh : APT s’arrête dès que l’une d’elles échoue. Sur l’entrée standard, APT transmet aux commandes les noms de tous les fichiers .deb qu’il va installer, à raison d’un par ligne.[/quote]

Dans tous les cas il faudra toujours :

• soit penser (ce qui reste très hasardeux) à faire une vérification du système juste avant l’installation / upgrade de paquets
• soit automatiser ladite vérification en Pre-Install-Pkgs / Pre-Invoke (en faisant en sorte que le moindre souci empêche l’installation de se poursuivre)

En effet, si la vérification du système n’est pas faite systématiquement juste avant l’installation / upgrade, cette automatisation est pire que de rien faire du tout puisqu’elle “valide” automatiquement les binaires éventuellement modifiés (et donc, dans le lot, ceux qui auraient été remplacés par un logiciel malicieux) sans demander l’avis de l’admin !

[quote=“Niloo”]Après chaque mise à jour il faut lancer la commande suivante afin de mettre à jour les MD5 :

rkhunter --update; rkhunter --propupdate

J’ai mis la commande dans le Wiki.
Pour le apt.conf j’attends la confirmation… pre ou post ? Je penche pour post…

Post évidement c’est une erreur de copier coller de ma part.

Re,
Merci? Mais est-ce un:

DPkg::Post-Install-Pkgs

ou

DPkg::Post-Invoke

Bonjour,

Le fichier pour lancer rkhunter après une mise à jour existe déjà dans /etc/apt/apt.conf.d/ :

ls -l /etc/apt/apt.conf.d/90rkhunter -rw-r--r-- 1 root root 471 9 oct. 2010 /etc/apt/apt.conf.d/90rkhunter

Il suffit de l’activer en modifiant le fichier /etc/default/rkhunter, remplacer

par

J’ai une autre question…

Avec apt-get pas de réaction, avec aptitude si. C’est normal ?

# apt-get dist-upgrade (ou upgrade) Lecture des listes de paquets... Fait Construction de l'arbre des dépendances Lecture des informations d'état... Fait Calcul de la mise à jour... Fait 0 mis à jour, 0 nouvellement installés, 0 à enlever et 0 non mis à jour.

# aptitude upgrade Aucun paquet ne va être installé, mis à jour ou enlevé. 0 paquets mis à jour, 0 nouvellement installés, 0 à enlever et 0 non mis à jour. Il est nécessaire de télécharger 0 o d'archives. Après dépaquetage, 0 o seront utilisés. [ Rootkit Hunter version 1.3.6 ] File updated: searched for 162 files, found 132

@micky979 > Cool, pas installé le paquet, donc je pouvais pas savoir.

@lol > En principe les deux utilisent dpkg au final, donc je trouve ça bizarre.

[quote=“lol”]Mais est-ce un:

DPkg::Post-Install-Pkgs

ou

DPkg::Post-Invoke[/quote]
Pas de Post-Install-Pkgs dans man apt.conf, c’est Post-Invoke.

Simple différence de comportement “à vide”, sûrement due au fait qu’aptitude réimplémente pas mal de trucs lui-même. Quand on modifie vraiment le système ça fonctionne :

[code]# aptitude install acct
…
[ Rootkit Hunter version 1.3.8 ]
File updated: searched for 164 files, found 127

aptitude purge acct

…
[ Rootkit Hunter version 1.3.8 ]
File updated: searched for 164 files, found 127

apt-get install acct

…
[ Rootkit Hunter version 1.3.8 ]
File updated: searched for 164 files, found 127

apt-get purge acct

…
[ Rootkit Hunter version 1.3.8 ]
File updated: searched for 164 files, found 127[/code]

cool, merci
Wiki à jour.