Logwatch : HTTP, ça commence à faire beaucoup !

[quote=“lol”]Re,

As-tu vérifié s’il y a des POST et/ou des CONNECT dans acces.log ?

Edit: Tu as “surveillance” d’installé, non ?[/quote]
Oui pour surveillance, que j’apprécie beaucoup.
bémol : à chaque modif d’un paquet et a fortiori à chaque MAJ, on a le wagon de Md5… qui défile et il est un peu fastidieux de les comparer un par un.

Là, je viens de brancher mon serveur en direct sur un écran donc sans liaison Net.
J’ai lancé une vérif rkhunter et RIEN de trouvé, tout est OK ou ‘not found’ et dans un joli vert sauf un warning qui ne semble pas être dangereux mais que je vous transmets quand même. Par la même occasion, si vous savez comment réparer, je suis preneur :

Quel fichier/dossier caché pourrait être en cause, comment le trouver et comment remédier ???

Salut,

Si surveillance ne trouve pas de fichier modifié louche alors que tu n’as pas fait de mise à jour, c’est tout bon…

[quote=“ricardo”]Warning for hidden files and directories [Warning]
Quel fichier/dossier caché pourrait être en cause, comment le trouver et comment remédier ???[/quote]

Aucun…
S’il y a une alerte, il donne le chemin et le fichier:

Warning: Hidden directory found: /dev/.udev Warning: Hidden directory found: /dev/.initramfs

Bonne réponse mais pourquoi il m’envoie ça comme alerte ?

Erreur de ma part (une fois de +) j’ai recopié ça de tête mais il y avait bien un chemin :

Warning: Hidden directory found: /dev/.udev Warning: Hidden directory found: /dev/.initramfs

EDIT :
En effet, ils sont bien tous les deux avec un '.'
Question :
en quoi ça gêne, c’est interdit les fichiers cachés dans /dev ???
Ils ne sont pas à leur place ?
Je les vire ou j’enlève le point ?

Encore erreur, je n’avais pas vu qu’il s’agissait d’un dossier caché et non d’un fichier.
J’ai donc fouillé et ça sent pas très bon :
Dans .initramfs : c’est vide
Mais dans .udev, il y a du monde :

:078 drwxr-xr-x 2 root root 2840 24 août 16:47 db drwxr-xr-x 25 root root 500 24 août 16:47 links -rw-r--r-- 1 root root 163 24 août 16:47 queue.bin drwxr-xr-x 2 root root 60 24 août 16:47 rules.d drwxr-xr-x 3 root root 60 24 août 16:47 tags drwxr-xr-x 2 root root 280 24 août 16:47 watch
Toutefois, la date et l’heure correspond au rebranchement de mon serveur.
Mais un fichier ne me semble pas sympa, en voilà une partie :

-rw-r--r-- 1 root root 25 24 août 16:47 block:loop6 -rw-r--r-- 1 root root 25 24 août 16:47 block:loop7 -rw-r--r-- 1 root root 1479 24 août 16:47 block:sda -rw-r--r-- 1 root root 1752 24 août 16:47 block:sda1 -rw-r--r-- 1 root root 1716 24 août 16:47 block:sda2 -rw-r--r-- 1 root root 1746 24 août 16:47 block:sda3 lrwxrwxrwx 1 root root 22 24 août 16:47 bsg:2:0:0:0 -> bsg/2:0:0:0 char/253:0 -rw-r--r-- 1 root root 36 24 août 16:47 drm:card0 -rw-r--r-- 1 root root 124 24 août 16:47 input:event0 -rw-r--r-- 1 root root 101 24 août 16:47 input:event1 -rw-r--r-- 1 root root 101 24 août 16:47 input:event2 -rw-r--r-- 1 root root 174 24 août 16:47 input:event3 -rw-r--r-- 1 root root 111 24 août 16:47 input:event4 lrwxrwxrwx 1 root root 21 24 août 16:47 input:mice -> input/mice char/13:63 -rw-r--r-- 1 root root 81 24 août 16:47 input:mouse0 lrwxrwxrwx 1 root root 13 24 août 16:47 mem:full -> full char/1:7 lrwxrwxrwx 1 root root 14 24 août 16:47 mem:kmsg -> kmsg char/1:11 lrwxrwxrwx 1 root root 12 24 août 16:47 mem:mem -> mem char/1:1 lrwxrwxrwx 1 root root 13 24 août 16:47 mem:null -> null char/1:3 lrwxrwxrwx 1 root root 13 24 août 16:47 mem:port -> port char/1:4 lrwxrwxrwx 1 root root 15 24 août 16:47 mem:random -> random char/1:8 lrwxrwxrwx 1 root root 16 24 août 16:47 mem:urandom -> urandom char/1:9 lrwxrwxrwx 1 root root 13 24 août 16:47 mem:zero -> zero char/1:5 lrwxrwxrwx 1 root root 19 24 août 16:47 misc:agpgart -> agpgart char/10:175 lrwxrwxrwx 1 root root 26 24 août 16:47 misc:cpu_dma_latency -> cpu_dma_latency char/10:62 lrwxrwxrwx 1 root root 16 24 août 16:47 misc:fuse -> fuse char/10:229 lrwxrwxrwx 1 root root 16 24 août 16:47 misc:hpet -> hpet char/10:228 lrwxrwxrwx 1 root root 18 24 août 16:47 misc:mcelog -> mcelog char/10:227 lrwxrwxrwx 1 root root 26 24 août 16:47 misc:network_latency -> network_latency char/10:61 lrwxrwxrwx 1 root root 29 24 août 16:47 misc:network_throughput -> network_throughput char/10:60 lrwxrwxrwx 1 root root 15 24 août 16:47 misc:psaux -> psaux char/10:1 lrwxrwxrwx 1 root root 20 24 août 16:47 misc:snapshot -> snapshot char/10:231 lrwxrwxrwx 1 root root 22 24 août 16:47 misc:vga_arbiter -> vga_arbiter char/10:63 -rw-r--r-- 1 root root 193 24 août 16:47 net:eth0 lrwxrwxrwx 1 root root 19 24 août 16:47 rtc:rtc0 -> rtc0 char/254:0 rtc -rw-r--r-- 1 root root 253 24 août 16:47 sound:card0 -rw-r--r-- 1 root root 98 24 août 16:47 sound:controlC0 -rw-r--r-- 1 root root 37 24 août 16:47 sound:hwC0D2 -rw-r--r-- 1 root root 39 24 août 16:47 sound:pcmC0D0c -rw-r--r-- 1 root root 39 24 août 16:47 sound:pcmC0D0p -rw-r--r-- 1 root root 39 24 août 16:47 sound:pcmC0D1c -rw-r--r-- 1 root root 39 24 août 16:47 sound:pcmC0D1p -rw-r--r-- 1 root root 39 24 août 16:47 sound:pcmC0D2c -rw-r--r-- 1 root root 36 24 août 16:47 sound:timer lrwxrwxrwx 1 root root 16 24 août 16:47 tty:console -> console char/5:1 lrwxrwxrwx 1 root root 13 24 août 16:47 tty:ptmx -> ptmx char/5:2 lrwxrwxrwx 1 root root 12 24 août 16:47 tty:tty -> tty char/5:0 lrwxrwxrwx 1 root root 13 24 août 16:47 tty:tty0 -> tty0 char/4:0 lrwxrwxrwx 1 root root 13 24 août 16:47 tty:tty1 -> tty1 char/4:1 lrwxrwxrwx 1 root root 15 24 août 16:47 tty:tty10 -> tty10 char/4:10 lrwxrwxrwx 1 root root 15 24 août 16:47 tty:tty11 -> tty11 char/4:11 lrwxrwxrwx 1 root root 15 24 août 16:47 tty:tty12 -> tty12 char/4:1

Salut,

Il s’agit d’un faux positif.
J’ai les mêmes dossiers et fichiers.

Ben c’est bizarre que je ne les aie pas dans ma Sid, seulement sur le serveur (en Squeeze) ???
J’ai envie de les déplacer pour voir si ça affecte le fonctionnement, qu’en pensez-vous ?

Tu t’emmerdes pour rien.
Fais une recherche sur le net, tu trouvera pléthore de question sur la question.

Je n’ai pas ces répertoires non plus dans ma Sid, mais sur toutes mes Squeezes…

Maintenant si t’as envie d’effacer…

En effet, j’ai vérifié sur d’autres Squeeze, ces dossiers sont présents.
Une autre question concernant RKHUNTER :
Les rootkits qui sont dans la banque, ils sont mis à jour de quelle façon ?

Salut,

ploup
il faut aussi effacer historique des commande, car si on tape surveille, il va savoir ou il faut trafiquer, utile ou pas celons vous?