"possible rootkit" pas sympa comme annonce

Dans la continuité de mes problèmes, rkhunter me trouve un Warning où il précise :
"possible rootkit"
ce n’est pas une certitude car c’est un “warning” mais …
Après fouillage des logs, il désigne deux fichiers qui pourraient être en cause :
/etc/init.d/hdparm
/etc/init.d/.depend.boot
Le 1er est un script
le second, ce n’est que du texte, que voici (je ne pense pas que du texte brut puisse faire du mal ?):

TARGETS = mountkernfs.sh udev mountdevsubfs.sh bootlogd keymap.sh keyboard-setup hostname.sh hwclockfirst.sh hdparm hibernate checkroot.sh hwclock.sh mtab.sh module-init-tools checkfs.sh mountall.sh mountall-bootclean.sh mountoverflowtmp x11-common urandom ifupdown-clean procps udev-mtab pppd-dns ifupdown networking portmap nfs-common mountnfs.sh mountnfs-bootclean.sh console-screen.sh console-setup fuse alsa-utils bootmisc.sh lm-sensors stop-bootlogd-single INTERACTIVE = udev keymap.sh keyboard-setup checkroot.sh checkfs.sh console-screen.sh console-setup udev: mountkernfs.sh mountdevsubfs.sh: mountkernfs.sh udev bootlogd: mountdevsubfs.sh keymap.sh: mountdevsubfs.sh bootlogd keyboard-setup: mountkernfs.sh keymap.sh udev bootlogd hostname.sh: bootlogd hwclockfirst.sh: bootlogd mountdevsubfs.sh hdparm: mountdevsubfs.sh udev bootlogd hibernate: udev bootlogd checkroot.sh: mountdevsubfs.sh hostname.sh keymap.sh hwclockfirst.sh hdparm bootlogd keyboard-setup hwclock.sh: checkroot.sh bootlogd mtab.sh: checkroot.sh module-init-tools: checkroot.sh checkfs.sh: checkroot.sh mtab.sh mountall.sh: hibernate checkfs.sh mountall-bootclean.sh: mountall.sh mountoverflowtmp: mountall-bootclean.sh x11-common: mountall.sh mountoverflowtmp urandom: mountall.sh mountoverflowtmp ifupdown-clean: mountall.sh mountoverflowtmp mountdevsubfs.sh hostname.sh procps: mountkernfs.sh mountall.sh mountoverflowtmp udev module-init-tools bootlogd udev-mtab: udev mountall.sh mountoverflowtmp pppd-dns: mountall.sh mountoverflowtmp ifupdown: ifupdown-clean networking: mountkernfs.sh mountall.sh mountoverflowtmp ifupdown portmap: networking ifupdown mountall.sh mountoverflowtmp nfs-common: portmap hwclock.sh mountnfs.sh: mountall.sh mountoverflowtmp networking ifupdown portmap nfs-common mountnfs-bootclean.sh: mountall.sh mountoverflowtmp mountnfs.sh console-screen.sh: mountall.sh mountoverflowtmp mountnfs.sh mountnfs-bootclean.sh console-setup: mountall.sh mountoverflowtmp mountnfs.sh mountnfs-bootclean.sh console-screen.sh fuse: mountall.sh mountoverflowtmp mountnfs.sh mountnfs-bootclean.sh alsa-utils: mountall.sh mountoverflowtmp mountnfs.sh mountnfs-bootclean.sh udev bootmisc.sh: mountall.sh mountoverflowtmp mountnfs.sh mountnfs-bootclean.sh udev lm-sensors: mountall.sh mountoverflowtmp mountnfs.sh mountnfs-bootclean.sh stop-bootlogd-single: mountall.sh mountoverflowtmp udev console-screen.sh keymap.sh keyboard-setup console-setup mountnfs.sh mountnfs-bootclean.sh fuse networking ifupdown portmap nfs-common hwclock.sh alsa-utils x11-common urandom mountkernfs.sh checkroot.sh hostname.sh mountdevsubfs.sh hwclockfirst.sh hdparm bootlogd ifupdown-clean hibernate checkfs.sh mtab.sh procps module-init-tools udev-mtab pppd-dns bootmisc.sh mountall-bootclean.sh lm-sensors

Votre avis ?
Une comparaison avec ce qui se trouve chez vou, merci !

Après un tour chez Gogol, je ne suis pas le seul à poser cette question.
Je vais essayer de comparer les md5…
Une comparaison avec vous sur md5sum m’irait bien
Il s’agit d’une sid en 64, mais je ne sais pas si cela a de l’incidence

EDIT :
le mien :
f7e435cba6e93e22cfd0ffb276b7158a /sbin/hdparm
a0dec34f555eb390eca730fc4dcfb3c2 /etc/init.d/hdparm

et celui du paquet Debian
fa61218cdfbf2a2384659370647129f2
???
Je fais quoi ?

EDIT 2 :
Dans squeeze, pas de hdparm ???

$ aptpo hdparm hdparm: Installé : 9.32-1 Candidat : 9.32-1 Table de version : *** 9.32-1 0 991 http://ftp.debian.org/debian/ testing/main amd64 Packages 501 http://ftp.debian.org/debian/ unstable/main amd64 Packages 101 http://ftp.debian.org/debian/ stable/main amd64 Packages 100 /var/lib/dpkg/status $ md5sum /etc/init.d/hdparm a0dec34f555eb390eca730fc4dcfb3c2 /etc/init.d/hdparm $ md5sum /sbin/hdparm f7e435cba6e93e22cfd0ffb276b7158a /sbin/hdparm

Quant à /etc/init.d/.depend.boot ce fichier est regénéré par insserv / update-rc.d à chaque modification des services, et sert à connaître les dépendances entre les divers services pour que startpar (lancement des services en parallèle lors du boot) puisse fonctionner correctement.
cf. man-wiki.net/index.php/7:init.d 7ème paragraphe de la section DESCRIPTION.
Sachant qu’il ne s’agit que d’informations sur les interdépendances entre services, il y a d’énormes chances que rkhunter ne grogne qu’à cause de la présence de hdparm.

Donc, comme j’ai exactement les mêmes md5sum que toi, je suppose, encore une fois qu’il s’agit d’un faux positif.
Merci, je laisse et je vais faire un tour, rassuré.

ricardo tu peux mettre la partie du log qui donne le warning ou carrément le log complet s’il est pas trop gros merci

Voici :

Info: Starting test name 'possible_rkt_strings' [15:22:36] Performing check for possible rootkit strings [15:22:36] Info: Using system startup paths: /etc/rc.local /etc/init.d /etc/inittab [15:22:36] Checking for string 'phalanx' [ Not found ] [15:22:36] Checking for string '/dev/proc/fuckit' [ Not found ] [15:22:36] Checking for string 'FUCK' [ Not found ] [15:22:36] Checking for string 'backdoor' [ Not found ] [15:22:36] Checking for string '/usr/bin/rcpc' [ Not found ] [15:22:36] Checking for string '/usr/sbin/login' [ Not found ] [15:22:36] Checking for string '/dev/ptyxx/.proc' [ Not found ] [15:22:36] Checking for string 'vt200' [ Not found ] [15:22:36] Checking for string '/usr/bin/xstat' [ Not found ] [15:22:36] Checking for string '/bin/envpc' [ Not found ] [15:22:36] Checking for string 'L4m3r0x' [ Not found ] [15:22:36] Checking for string '/lib/libext' [ Not found ] [15:22:36] Checking for string '/usr/sbin/login' [ Not found ] [15:22:36] Checking for string '/usr/lib/.tbd' [ Not found ] [15:22:36] Checking for string 'sendmail' [ Not found ] [15:22:36] Checking for string 'cocacola' [ Not found ] [15:22:36] Checking for string 'joao' [ Not found ] [15:22:36] Checking for string '/dev/ptyxx/.file' [ Not found ] [15:22:36] Checking for string '/dev/ptyxx/.file' [ Not found ] [15:22:36] Checking for string '/dev/sgk' [ Not found ] [15:22:36] Checking for string '/var/lock/subsys/...datafile...' [ Not found ] [15:22:36] Checking for string '/usr/lib/.tbd' [ Not found ] [15:22:36] Checking for string '/dev/proc/fuckit' [ Not found ] [15:22:36] Checking for string '/lib/.sso' [ Not found ] [15:22:36] Checking for string '/var/lock/subsys/...datafile...' [ Not found ] [15:22:36] Checking for string '/dev/caca' [ Not found ] [15:22:36] Checking for string '/dev/ttyoa' [ Not found ] [15:22:36] Checking for string '/usr/lib/ldlibns.so' [ Not found ] [15:22:36] Checking for string '/dev/ptyxx/.addr' [ Not found ] [15:22:36] Checking for string 'syg' [ Not found ] [15:22:37] Checking for string '/var/lock/subsys/...datafile...' [ Not found ] [15:22:37] Checking for string '/dev/pts/01' [ Not found ] [15:22:37] Checking for string 'tw33dl3' [ Not found ] [15:22:37] Checking for string 'psniff' [ Not found ] [15:22:37] Checking for string 'uconf.inv' [ Not found ] [15:22:37] Checking for string 'lib/ldlibps.so' [ Not found ] [15:22:37] Checking for string '/usr/lib/ldlibpst.so' [ Not found ] [15:22:37] Checking for string '/var/lock/subsys/...datafile...' [ Not found ] [15:22:37] Checking for string 'libproc.so.2.0.7' [ Not found ] [15:22:37] Checking for string '/dev/ptyxx/.proc' [ Not found ] [15:22:37] Checking for string '/dev/ptyxx/.proc' [ Not found ] [15:22:37] Checking for string 'libproc.so.2.0.7' [ Not found ] [15:22:37] Checking for string 'libproc.so.2.0.7' [ Not found ] [15:22:37] Checking for string '/bin/bash' [ Not found ] [15:22:37] Checking for string '/dev/ptyxx' [ Not found ] [15:22:37] Checking for string '/.config' [ Not found ] [15:22:37] Checking for string '\$.*\$\!.*\!\!\$' [ Not found ] [15:22:37] Checking for string '/dev/xdta' [ Not found ] [15:22:37] Checking for string '/usr/lib/.tbd' [ Not found ] [15:22:37] Checking for string '/dev/ptyxx/.proc' [ Not found ] [15:22:38] Checking for string 'in.inetd' [ Not found ] [15:22:38] Checking for string '#<HIDE_.*>' [ Not found ] [15:22:38] Checking for string 'bin/xchk' [ Not found ] [15:22:39] Checking for string 'bin/xsf' [ Not found ] [15:22:39] Checking for string '/usr/bin/ssh2d' [ Not found ] [15:22:40] Checking for string '/usr/sbin/xntps' [ Not found ] [15:22:40] Checking for string 'ttyload' [ Not found ] [15:22:41] Checking for string '/etc/rc.d/init.d/init' [ Not found ] [15:22:41] Checking for string 'usr/bin/xfss' [ Not found ] [15:22:41] Checking for string '/usr/sbin/rpc.netinet' [ Not found ] [15:22:42] Checking for string '/usr/lib/.fx/cons.saver' [ Not found ] [15:22:42] Checking for string '/usr/lib/.fx/xs' [ Not found ] [15:22:42] Checking for string '/ssh2d' [ Not found ] [15:22:43] Checking for string '/dev/kmod' [ Not found ] [15:22:43] Checking for string '/crth.o' [ Not found ] [15:22:43] Checking for string '/crtz.o' [ Not found ] [15:22:44] Checking for string '/dev/dos' [ Not found ] [15:22:44] Checking for string '/lpq' [ Not found ] [15:22:45] Checking for string '/usr/sbin/rescue' [ Not found ] [15:22:45] Checking for string '/usr/lib/lpstart' [ Not found ] [15:22:45] Checking for string '/volc' [ Not found ] [15:22:46] Checking for string 'sourcemask' [ Not found ] [15:22:46] Checking for string '/bin/vobiscum' [ Not found ] [15:22:46] Checking for string '/usr/sbin/in.telnet' [ Not found ] [15:22:47] Checking for string 'hdparm' [ Warning ] [15:22:47] Checking for string '/lib/ldd.so/tkps' [ Not found ] [15:22:47] Checking for string 't0rnkit' [ Not found ] [15:22:47] Checking for string '/dev/proc/fuckit' [ Not found ] [15:22:47] Checking for string 'libproc.so.2.0.7' [ Not found ] [15:22:47] Checking for string 'libproc.so.2.0.7' [ Not found ] [15:22:47] Checking for string 'libproc.so.2.0.7' [ Not found ] [15:22:47] Checking for string '/usr/lib/ldlibct.so' [ Not found ] [15:22:47] Checking for string '/usr/lib/ldlibdu.so' [ Not found ] [15:22:47] Checking for string '/dev/ptyxx/.file' [ Not found ] [15:22:47] Checking for string 'libproc.so.2.0.7' [ Not found ] [15:22:47] Checking for string '/dev/ida/.inet' [ Not found ] [15:22:47] Warning: Checking for possible rootkit strings [ Warning ] [15:22:47] Found string 'hdparm' in file '/etc/init.d/hdparm'. Possible rootkit: Xzibit Rootkit [15:22:47] Found string 'hdparm' in file '/etc/init.d/.depend.boot'. Possible rootkit: Xzibit Rootkit [15:22:47]

Salut

Je ne suis pas un espère en rootkit mais pour hdparm je pense à un faux positif

https://www.debian-fr.org/l-attaquant-a-oublie-de-modifier-la-date-de-son-rootkit-t34603.html#p350772

Après vérification de mon côté :

$ rkhunter -c --pkgmgr DPKG [...] [17:02:30] Warning: Checking for possible rootkit strings [ Warning ] [17:02:30] Found string 'hdparm' in file '/etc/init.d/.depend.boot'. Possible rootkit: Xzibit Rootkit [17:02:30] Found string 'hdparm' in file '/etc/init.d/hdparm'. Possible rootkit: Xzibit Rootkit

bugs.debian.org/cgi-bin/bugreport.cgi?bug=559696
sourceforge.net/mailarchive/foru … viewday=29

/usr/share/doc/rkhunter/README.Debian.gz :

[quote]* FALSE POSITIVES
Below is a list of packages which are known to set off false alarms in
rkhunter:
[…]
* hdparm: the string “hdparm” found in the initscripts leads to rkhunter warns
about possible Xzibit rootkit. Use the RTKT_FILE_WHITELIST option to whitelist
initscripts stating this string (eg. /etc/init.d/hdparm)

• LOCAL CONFIGURATION FILE
  It is possible to put configuration changes into a local config
  file. This file, called ‘rkhunter.conf.local’, must be in the same
  directory as the main configuration file (ie. in /etc/ by default for
  the Debian package). Rkhunter will look for configuration options in the
  main config file, and then in the local config file if it exists. For options
  allowed only once, the last one seen is used. For options allowed more than
  once, all options from both files will be used.

  Please note that this file is not part of the Debian package, and is hence not
  dealt with when the package is upgraded or purged.[/quote]

Bref, faux positif, pour le faire taire (je ne le conseillerais pas, cependant) il suffit de…

Ok j’avais pas vu ton message précédent ^^
si les md5 sont identiques pas de souci à priori

Je ne sais pas trop à quoi il fait référence ce “Xzibit Rootkit”, mais ça fait un bail que je le traîne dans mes logs…et il commence à me gonfler

Alors on à beau me dire que c’est un faux positif

Mais moi j’suis parano…

ricardo = parano !
J’ai viré tout les détecteurs de rootkit car j’avais trop souvent de faux positifs.
Un bon routeur en tête de réseau, un surf tranquile (sinon c’est via TOR), et je dors sur mes 2 oreilles.

[quote=“piratebab”]ricardo = parano !
J’ai viré tout les détecteurs de rootkit car j’avais trop souvent de faux positifs.
Un bon routeur en tête de réseau, un surf tranquile (sinon c’est via TOR), et je dors sur mes 2 oreilles.[/quote]

Tu héberge chez toi, si oui tant mieux pour toi sinon un rootkit on l’installe sur un serveur de préférences pour pouvoir bénéficier d’une machine allumé en quasi permanence si ce n’est pas en permanence

http://fr.wikipedia.org/wiki/Rootkit

L’intérêt est minime pour un “desktop” car une fois pénétré en générale le cracker peut récupérer ce qu’il veut et effacer les traces de son forfait pour ne plus jamais revenir ( à moins que la cible soit une poule au oeufs d’or ).

En l’occurrence, c’est sur ma machine 1 et non sur le serveur.
Bon, je vais arrêter la parano, tu as raison Piratebab.

Clochette, tu as raison … en théorie!
Les rootkit sont une technologie complexe, que peux de personnes maitrisent. Alors à moins de posseder des données de grande valeur, même un serveur à peut de chance d’en attraper un.
Je préfère sécuriser les accès afin d’éviter l’installation de rootkit, vérifier les logs, car une fois le rootkit en place, c’est trop tard, la furtivité de l’attaquant est acquise (le rootkit efface les traces à la volée).
Je ne dirai pas la même chose sur les OS propriétaire ou les rootkit sont bien plus répandus …