[résolu] panique à bord- rkhunter

bonjour,

Apres un petit "rkhunter -c --createlogfile"
Une petite angoisse s’est emparée de moi. :smt103

Voici mon log un peu dégrossit.

[10:27:36] /bin/kill [ OK ]

[10:27:36] /bin/login [ Warning ]
[10:27:36] Warning: The file properties have changed:
[10:27:36] File: /bin/login
[10:27:36] Current hash: 5bbc3b759499fb20d9dc811d74cbb64c9fd973b5
[10:27:36] Stored hash : 5c663ae05b6f3b0a828323ff298ca14d963a7b21
[10:27:36] Current inode: 167569 Stored inode: 5788
[10:27:36] Current file modification time: 1227377632
[10:27:36] Stored file modification time : 1221428042

[10:27:37] /bin/ls [ OK ]
[10:27:38] /bin/mv [ OK ]

[10:27:39] /bin/netstat [ Warning ]
[10:27:39] Warning: The file properties have changed:
[10:27:39] File: /bin/netstat
[10:27:39] Current hash: 54d38583ebf341015feddfd96f1361956eb60470
[10:27:39] Stored hash : da88a677fa7466ec1c66a87ce46ee4a4dd78146e
[10:27:39] Current inode: 151814 Stored inode: 5055
[10:27:39] Current size: 120496 Stored size: 120048
[10:27:39] Current file modification time: 1226855172
[10:27:39] Stored file modification time : 1222538729

[10:27:39] /bin/ps [ OK ]
[10:27:41] /bin/sh [ OK ]

[10:27:41] /bin/su [ Warning ]
[10:27:41] Warning: The file properties have changed:
[10:27:41] File: /bin/su
[10:27:41] Current inode: 167570 Stored inode: 5789
[10:27:42] Current file modification time: 1227377632
[10:27:42] Stored file modification time : 1221428042

[10:27:42] /bin/touch [ OK ]
[10:27:45] /usr/bin/dirname [ OK ]

[10:27:46] /usr/bin/dpkg [ Warning ]
[10:27:46] Warning: The file properties have changed:
[10:27:46] File: /usr/bin/dpkg
[10:27:46] Current hash: a3e6f6f93e1d948ddb2bc0c24b0a7c54afa08e52
[10:27:46] Stored hash : 2ada5faecef6362b5764baab3b4bd3313d55fb81
[10:27:46] Current inode: 5466 Stored inode: 327
[10:27:46] Current size: 400216 Stored size: 400120
[10:27:46] Current file modification time: 1227009121
[10:27:46] Stored file modification time : 1220629976
[10:27:47] /usr/bin/dpkg-query [ Warning ]
[10:27:47] Warning: The file properties have changed:
[10:27:47] File: /usr/bin/dpkg-query
[10:27:47] Current hash: eedc6fe36a6769f10425a50fac7f96d3eb9a60ed
[10:27:47] Stored hash : e300646cd6f39a6b3b52f483c7b10e6ac1c14ff5
[10:27:47] Current inode: 5462 Stored inode: 323
[10:27:47] Current file modification time: 1227009121
[10:27:47] Stored file modification time : 1220629976

[10:27:47] /usr/bin/du [ OK ]

[10:27:51] /usr/bin/lastlog [ Warning ]
[10:27:51] Warning: The file properties have changed:
[10:27:51] File: /usr/bin/lastlog
[10:27:51] Current inode: 167432 Stored inode: 3013
[10:27:51] Current file modification time: 1227377632
[10:27:51] Stored file modification time : 1221428042

[10:27:51] /usr/bin/ldd [ OK ]
[10:27:54] /usr/bin/mlocate [ OK ]

[10:27:55] /usr/bin/newgrp [ Warning ]
[10:27:55] Warning: The file properties have changed:
[10:27:55] File: /usr/bin/newgrp
[10:27:55] Current inode: 167434 Stored inode: 3015
[10:27:55] Current file modification time: 1227377632
[10:27:55] Stored file modification time : 1221428042
[10:27:55] /usr/bin/passwd [ Warning ]
[10:27:55] Warning: The file properties have changed:
[10:27:55] File: /usr/bin/passwd
[10:27:55] Current inode: 3104 Stored inode: 2266
[10:27:56] Current file modification time: 1227377631
[10:27:56] Stored file modification time : 1221428041
[10:27:56] /usr/bin/perl [ Warning ]
[10:27:56] Warning: The file properties have changed:
[10:27:56] File: /usr/bin/perl
[10:27:56] Current inode: 12200 Stored inode: 2173
[10:27:56] Current file modification time: 1227823420
[10:27:56] Stored file modification time : 1225612254

[10:27:57] /usr/bin/pstree [ OK ]
[10:28:07] /sbin/depmod [ OK ]

[10:28:08] /sbin/ifconfig [ Warning ]
[10:28:08] Warning: The file properties have changed:
[10:28:08] File: /sbin/ifconfig
[10:28:08] Current hash: 2703da8bd70c7f12c490ef40a4734d989447426a
[10:28:08] Stored hash : bb0229b464fe6fed2ac8e75517bc935c15844395
[10:28:08] Current inode: 151817 Stored inode: 5022
[10:28:08] Current file modification time: 1226855172
[10:28:08] Stored file modification time : 1222538729

[10:28:09] /sbin/ifdown [ OK ]
[10:28:14] /usr/sbin/cron [ OK ]

[10:28:15] /usr/sbin/groupadd [ Warning ]
[10:28:15] Warning: The file properties have changed:
[10:28:15] File: /usr/sbin/groupadd
[10:28:15] Current inode: 3097 Stored inode: 2263
[10:28:15] Current file modification time: 1227377631
[10:28:15] Stored file modification time : 1221428041
[10:28:16] /usr/sbin/groupdel [ Warning ]
[10:28:16] Warning: The file properties have changed:
[10:28:16] File: /usr/sbin/groupdel
[10:28:16] Current inode: 3055 Stored inode: 2251
[10:28:16] Current file modification time: 1227377631
[10:28:16] Stored file modification time : 1221428041
[10:28:16] /usr/sbin/groupmod [ Warning ]
[10:28:16] Warning: The file properties have changed:
[10:28:17] File: /usr/sbin/groupmod
[10:28:17] Current inode: 3057 Stored inode: 2253
[10:28:17] Current file modification time: 1227377631
[10:28:17] Stored file modification time : 1221428041
[10:28:17] /usr/sbin/grpck [ Warning ]
[10:28:17] Warning: The file properties have changed:
[10:28:17] File: /usr/sbin/grpck
[10:28:17] Current inode: 3059 Stored inode: 2255
[10:28:17] Current file modification time: 1227377631
[10:28:17] Stored file modification time : 1221428041

[10:28:18] /usr/sbin/inetd [ OK ]

[10:28:19] /usr/sbin/nologin [ Warning ]
[10:28:19] Warning: The file properties have changed:
[10:28:19] File: /usr/sbin/nologin
[10:28:19] Current inode: 167431 Stored inode: 3012
[10:28:19] Current file modification time: 1227377632
[10:28:19] Stored file modification time : 1221428042
[10:28:19] /usr/sbin/pwck [ Warning ]
[10:28:19] Warning: The file properties have changed:
[10:28:19] File: /usr/sbin/pwck
[10:28:20] Current inode: 3053 Stored inode: 2249
[10:28:20] Current file modification time: 1227377631
[10:28:20] Stored file modification time : 1221428041
[10:28:20] /usr/sbin/rsyslogd [ Warning ]
[10:28:20] Warning: The file properties have changed:
[10:28:20] File: /usr/sbin/rsyslogd
[10:28:20] Current hash: b19112bc6da33fa9e3dbda3108b7ccfed5e5336c
[10:28:20] Stored hash : ae01f0d6b5a6f2231a32c2114ab20d03b60019c7
[10:28:20] Current inode: 25239 Stored inode: 8215
[10:28:20] Current size: 253160 Stored size: 252936
[10:28:20] Current file modification time: 1227188431
[10:28:21] Stored file modification time : 1218673305

[10:28:21] /usr/sbin/sestatus [ OK ]
[10:28:21] /usr/sbin/tcpd [ OK ]

[10:28:22] /usr/sbin/unhide [ Warning ]
[10:28:22] Warning: The file ‘/usr/sbin/unhide’ exists on the system, but it is not present in the rkhunter.dat file.
[10:28:22] /usr/sbin/useradd [ Warning ]
[10:28:22] Warning: The file properties have changed:
[10:28:22] File: /usr/sbin/useradd
[10:28:22] Current inode: 3060 Stored inode: 2256
[10:28:22] Current file modification time: 1227377631
[10:28:22] Stored file modification time : 1221428041
[10:28:23] /usr/sbin/userdel [ Warning ]
[10:28:23] Warning: The file properties have changed:
[10:28:23] File: /usr/sbin/userdel
[10:28:23] Current inode: 3058 Stored inode: 2254
[10:28:23] Current file modification time: 1227377631
[10:28:23] Stored file modification time : 1221428041
[10:28:23] /usr/sbin/usermod [ Warning ]
[10:28:23] Warning: The file properties have changed:
[10:28:23] File: /usr/sbin/usermod
[10:28:24] Current inode: 3046 Stored inode: 2242
[10:28:24] Current file modification time: 1227377631
[10:28:24] Stored file modification time : 1221428041
/usr/sbin/vipw [ Warning ]
[10:28:24] Warning: The file properties have changed:
[10:28:24] File: /usr/sbin/vipw
[10:28:24] Current inode: 3048 Stored inode: 2243
[10:28:24] Current file modification time: 1227377631
[10:28:24] Stored file modification time : 1221428041
[10:28:25] /usr/sbin/unhide-linux26 [ Warning ]
[10:28:25] Warning: The file ‘/usr/sbin/unhide-linux26’ exists on the system, but it is not present in the rkhunter.dat file.

[10:30:27] System checks summary
[10:30:27] =====================
[10:30:27]
[10:30:27] File properties checks…
[10:30:27] Files checked: 134
[10:30:27] Suspect files: 23
[10:30:27]
[10:30:27] Rootkit checks…
[10:30:28] Rootkits checked : 107
[10:30:28] Possible rootkits: 0
[10:30:28]
[10:30:28] Applications checks…
[10:30:28] Applications checked: 4
[10:30:28] Suspect applications: 0
[10:30:28]
[10:30:28] The system checks took: 3 minutes and 6 seconds
[10:30:28]
[10:30:28] Info: End date is mercredi 17 décembre 2008, 10:30:28 (UTC+0100)
(END)

Beaucoup de Warning.
Merci de m’eclairer

Si les paquets contenant les fichier concernés par les warnings ont été mis à jour, ça peut être tout à fait normal, mais ça va gueuler à chaque scan.
Il y a possibilité de resetter les md5sums, mais je ne retrouve pas ça dans le man de rkhunter.

Vérifies les md5sum avec ceux déclarés dans /var/lib/dpkg/info, je regarde un script pour faire ça simplement…

#!/bin/sh FIC=`echo $1 | sed -e 's|^/||'` #echo $FIC MD=`dpkg -S $FIC | grep -E " /$FIC\$" | head -n 1 |sed -e 's|^\(.*\): .*|grep '$FIC' /var/lib/dpkg/inf\ o/\1.md5sums|' | sh | cut -d" " -f1` MDRE=`md5sum /$FIC | cut -d" " -f1` if [ $MDRE=$MD ] ; then echo $FIC OK else echo $FIC Compromis fi

$ sh verif /bin/hostname bin/hostname OK boisson@panda:/tmp$
par exemple…

rkhunter est l’utilitaire pour vérifier la présence de rootkit dans son système nan??

Est-il nécessaire (ou à défaut prudent) de s’en servir pour une utilisation bureautique de sa Debian

C’est surtout utile pour un serveur, mais il a raison de paniquer, les rootkits comme suckIT modifient souvent les commandes de base (ps, top, portmap, last, kill, etc)

ceci étant, tu pourras remarquer que quand les mtime sont les mêmes pour deux commandes, tu as les mêmes aussi pour la version modifée. Ca sent la simple mise à jour.

Où la modification par un script… Le jour où mon serveur avait été “rootkité” (http://lists.debian.org/debian-user-french/2003/12/msg01134.html), j’avais tout ces symptomes. J’ai aussi énormément appris ce même jour (lis le fil…)

[quote=“M3t4linux”]rkhunter est l’utilitaire pour vérifier la présence de rootkit dans son système nan??

Est-il nécessaire (ou à défaut prudent) de s’en servir pour une utilisation bureautique de sa Debian[/quote]

Ce n’est pas une obligation. Mais ca permet d’apprendre son fonctionnement pour un jour pouvoir l’utiliser correctement.
Qui aprend GNU/linux en station finira un jour par l’utiliser en serveur

Je découvre le md5sum sur mon système (je ne connaissais que pour vérifier le téléchargement).
Comment cela fonctionne t’il ?

Je n’ais pas encore essayé le script bizarre. Que devrait il se passer?

En attendant. Merci pour vos réactions rapides

[quote=“fran.b”]#!/bin/sh
FIC=echo $1 | sed -e 's|^/||'
#echo $FIC
MD=dpkg -S $FIC | grep -E " /$FIC\$" | head -n 1 |sed -e 's|^\(.*\): .*|grep '$FIC' /var/lib/dpkg/inf\ o/\1.md5sums|' | sh | cut -d" " -f1
MDRE=md5sum /$FIC | cut -d" " -f1
if [ $MDRE=$MD ] ; then
echo $FIC OK
else
echo $FIC Compromis
fi[/quote]

J’ai utilisé le script que j’ai nommé scrypt md5

et voila le résultat

bhakta-64:/home/sadhu# sh scrypt\ md5
dpkg-query: --search a besoin d’au moins un motif de nom de fichier comme paramètre

Utilisez --help pour savoir comment enquêter sur les paquets ;
Utilisez --licence pour le copyright, et l’absence de garantie (GNU GPL)

md5sum: /: est un répertoire
OK
bhakta-64:/home/sadhu#

Le fonctionnement est le suivant:

Le code d’abrod, je l’ai modifié pour cause de bug dans certain cas:

#!/bin/sh FIC=`echo $1 | sed -e 's|^/||'` MD=`dpkg -S $FIC | grep -E " /$FIC\$" | head -n 1 |sed -e 's|^\(.*\): .*|grep -E \" '$FIC'$\" /var/lib/dpkg/info/\1.md5sums|' | sh | cut -d" " -f1` MDRE=`md5sum /$FIC | cut -d" " -f1` echo $MD echo $MDRE if [ $MDRE = $MD ] ; then echo $FIC OK else echo $FIC Compromis fi

Tu veux vérifier si /bin/bash est compromis ou non:

francois@bling:~$ verifMD5 /bin/bash 72e1a7bbf8478e3dd08693bec6f4c50e 72e1a7bbf8478e3dd08693bec6f4c50e bin/bash OK francois@bling:~$
Les deux md5sums sont identiques, c’est bon.
Quand ça coince

bling:/usr/bin# verifMD5 /usr/bin/zip 1e464bc866e7bdee3eaf389417e0d056 9cf0efdcda7acb5e20bb9c12726ab5d2 usr/bin/zip Compromis bling:/usr/bin#
Cas d’un lien

[code]bling:/usr/bin# verifMD5 /usr/bin/emacs

280a68424cb02f26de0ae2b7b7bbff17
/usr/local/bin/verifMD5: line 7: [: 280a68424cb02f26de0ae2b7b7bbff17: unary operator expected
usr/bin/emacs Compromis
bling:/usr/bin#
[/code]
mais

bling:/usr/bin# verifMD5 /usr/bin/emacs21-x 280a68424cb02f26de0ae2b7b7bbff17 280a68424cb02f26de0ae2b7b7bbff17 usr/bin/emacs21-x OK bling:/usr/bin#

quote="sadhu-gnu"Je découvre le md5sum sur mon système (je ne connaissais que pour vérifier le téléchargement).
Comment cela fonctionne t’il ?

(…)[/quote]Tout bêtement, le md5sum est une fonction non inversible (injective, càd une signature) basée sur plusieurs éléments caractèristiques du fichier qui te permettent de vérifier qu’il n’a pas été modifié.
Le md5sum dont parle fran est celui que dpkg calcule au moment ou le fichier est installé. Celui qui fait hurler rkhunter est un md5sum calculé au moment ou tu mets en place rkhunter. Il est donc calculé de la même manière, mais il peut se désynchroniser naturellement lors d’une mise à jour d’un paquet (qui modifie le md5sum pour dpkg, mais dont rkhunter n’est pas au courant).
fr.wikipedia.org/wiki/Md5

si j’ai tout compris.
rkhunter compare les md5 des paquets sur mon système avec des md5 qu’il recoit de la distribution GNU/linux… "ici debian"
Comme les md5 de rkhunter ne sont pas synchro avec les miens donc j’ai droit à des alertes. (dans ce cas de figure)
J’ai donc réinstallé rkhunter pour re-synchroniser tout ca.
Un “rkhunter -c” et hop plus d’alertes.

Ais je bien fait ou est ce le hasard ??

Évidement j’ai aussi fait un chkrootkit par précaution

Oui. J’ai fait un paquet équivalent à rkhunter et il y a exactement le même pbm: à chaque update, des alertes. Tu as aussi sur des serveurs ou si tu as bcp de machines des fausses alertes dues à des erreurs d’I/O affectant un ou plusieurs fichiers.

[quote=“sadhu-gnu”]J’ai donc réinstallé rkhunter pour re-synchroniser tout ca.
Un “rkhunter -c” et hop plus d’alertes.

Ais je bien fait ou est ce le hasard ??[/quote]

Bon pas d’avis contraires. Alors je clos le post.

Merci à tous

Hello,

Alors en fait moi j’ai fait un rkhunter -c mais cela n’a pas régénéré ma base de signature des binaires… du coup j’ai toujours des faux positif à chaque éxécution de rkhunter.

Une idée ?

Oui faut faire un rkhunter --propupd