[quote=“antalgeek”]j’ai suivi tes instructions :
- ajouté tes dépôts
- installé surveillance et cacheproc
- lu le README
- lancé les 2
Et pas de soucis à l’horizon
Pour m’amuser j’ai lancé une mise à jour après avoir fait la génération des md5 de surveille puis relancé surveille et il m’a trouvé les fichiers modifiés (il y avait des maj de perl aujourd’hui)
Puis tant que j’y étais j’ai regénéré les md5 pour qu’il ne me sorte pas d’erreurs.
[/quote]
Tu peux le régénérer par dpkg-reconfigure surveillance.
Si tu as vraiment peur, tu peux mettre le programme et les signatures sur CDR mais là je trouve ça excessif.
Tu pourras parfois voir un fichier qui se modifie spontanément, c’est très rare cependant et si tu analyse le fichier, tu t’aperçois d’une mise à zéro d’une rangée de bits dans une plage (tous les 6ièmes bits des octets 20?A dans la plage 2000-2FFF par exemple).
Par ailleurs, regarde est très sensible, il m’arrive assez fréquemment d’avoir des messages du type
[quote]…Processus caché :7817
Environnement:
cat: ./7817/environ: Aucun fichier ou répertoire de ce type
1 processus caché(s) trouvé(s)
[/quote]
c’est une fausse alerte, le processus 7817 était en train de s’interrompre. Lors de mes tests sur des rootkits, l’environnement est affiché ainsi la ligne de commande.
[quote]
PS : j’ai même récupéré les sources pour me coucher moins bête ce soir[/quote]
N’hésite pas à demander. Tout est compilé en statique via diet gcc afin de ne pas dépendre d’une librairie potentiellement corrompue.