Rkhunter: 5 warnings, 2 fichiers suspects, possible rootkits: 1... que faire?

Support Debian
#1

Bonjour à tous,
à la suite de la discussion suivante, comportement aléatoire du scanner (réparation efficace hier soir, puis nouvelle panne ce matin, puis de nouveau, ce soir, le scanner est trouvé par xsane)

https://www.debian-fr.org/t/de-nouveau-xsane-ne-trouve-plus-le-scannet-lide-110-canon/84726/ ,

j’ai lancé rkhunter, et récolté les «Warning» suivants:

# rkhunter --check --skip-keypress | grep Warning
    /usr/bin/rkhunter                                        [ Warning ]
    /usr/bin/lwp-request                                     [ Warning ]
    Checking for enabled inetd services                      [ Warning ]
    Checking for backdoor ports                              [ Warning ]
    Checking for hidden files and directories                [ Warning ]

# rkhunter --check --rwo
Warning: The file properties have changed:
         File: /usr/bin/rkhunter
         Current inode: 454958    Stored inode: 422636
Warning: The command '/usr/bin/lwp-request' has been replaced by a script: /usr/bin/lwp-request: Perl script text executable
Warning: Found enabled inetd service: sane-port
Warning: Network TCP port 6666 is being used by /usr/sbin/crtmpserver. Possible rootkit: Possible rogue IRC bot
         Use the 'lsof -i' or 'netstat -an' command to check this.
Warning: Hidden directory found: /etc/.git
Warning: Hidden directory found: /etc/.java
Warning: Hidden file found: /etc/.rsyncd.conf.swp: Vim swap file, version 8.1, pid 23783, user root, host pclf-w970suw, file /etc/rsyncd.conf, modified

dont je ne sais pas quoi faire. (y compris avec les commandes lsof -i et netstat -an)

et un possible rootkit:

    File properties checks...
        Files checked: 150
        Suspect files: 2

Rootkit checks...
    Rootkits checked : 480
    Possible rootkits: 1

Applications checks...
    All checks skipped

The system checks took: 2 minutes and 55 seconds

All results have been written to the log file: /var/log/rkhunter.log

One or more warnings have been found while checking the system.
Please check the log file (/var/log/rkhunter.log)
#2

Le meilleur moyen de ne pas voir d’alertes est quand même de ne pas lancer rkhunter ou équivalents.
Surtout si c’est pour voir qu’un scanner ne marche pas.

Astuce ! Les méchants pirates se fichent totalement des scanners.

Là on est plus dans les soucis d’interface chaise-clavier.

Pour savoir si il y a plusieurs personnes sous le capot du cerveau de l’ordi, donne nous les retours de ces deux commandes :

w
last

Et SURTOUT, réponds à la dernière demande de @Gilles92 sur ton premier fil.

Celui-ci va vite s’éteindre.

#3

Merci Nam1962,
w me semble normal:

$w
 11:10:10 up 1 day,  3:01,  1 user,  load average: 0,34, 0,49, 0,46
USER     TTY      FROM             LOGIN@   IDLE   JCPU   PCPU WHAT
laguilde tty7     :0               ven.08   27:01m 14:03   3.27s mate-session

et la sortie de last:
last.log (18,8 Ko)

#4

Il est bien vrai que la paranoïa vient souvent de l’ignorance! désolé, je sais pourtant que ça agace!

#5

Effectivement, à priori on ne voit que toi :slight_smile:

Tu as aussi

last -F

qui est intéressant car il te donne la durée des sessions (c’est comme çà que je retrouve mes journées de bidouilles à multiples démarrages ^^)

Ou des anciens polytraumatismes W$ :wink: Sous W$ il sont souvent plusieurs sous le capot du cerveau de l’ordi !

Je pense que tu peux fermer ce fil et reprendre l’autre pour étudier un souci de réglage logiciel ou de faiblesse matérielle.

#6

C’est bien vrai que 20 ans de M$ imposé au travail pour une application rigide et ne remplissant que bien peu son objectif a été un traumatisme! Bien vu cher confrère :wink:

1 J'aime
#7

salut
ce serait bien que quelqu’un qui maitrise rkhunter nous fasse un petit topo.
ce logiciel semble intéressant mais les warnings systématiquement présents m’empêche d’en tirer des conclusions , à part pour le résultat des Checking for rootkits… , Performing additional rootkit checks

#8

Bonjour dindoun :grinning:

Eh, bien déjà pour les fichiers et dossiers cachés, tu as l’explication plus loin, et le fichier /etc/. java caché c’est systématique, tu as toujours l’avertissement ( warning ).

Il faut réfléchir sur les avertisements ( aussi chercher sur Internet ), réfléchir à sa propre installation : Est-ce que mon installation est telle qu’elle peut déclancher un faux positifs pour rkhunter ? ) pour discriminer les faux positifs et ils sont fréquents.

Se renseigner, comparer, faire des hypothèses, les tester, en tirer des conclusions, c’est le mieux que l’on puisse accomplir, je ne crois pas que l’on puisse rédiger un tuto valable en toutes circonstances sur rkhunter.

#9

Encore merci pour ces explications. Elles montre que cet outil n’est pas fait pour l’utilisateur Lambda, et éclaire la première remarque de

1 J'aime
#10

Tout à fait. L’erreur classique est de croire que ce type d’outil est une mesure de protection (un anti-virus ou autre) alors que c’est une outil d’analyse post-mortem (forensic pour les anglophones). Et les nombreuses documentations erronées sur le web n’aident pas à ce niveau là…

2 J'aime
#11

rkhunter
chkrootkit
chkboot
audit
tripwire

les 4 premier font systématiquement parti de l’installation de mes machines, serveurs comme poste de travail.
Tout ça permet d’être informé sur ce qui peut se passer sur la machine, où d’être prévenu d’une modification.

Avec souvent plein de warning. mais mieux vaut être prévenu pour rien que de pas l’être pour quelque chose.

#12

Il manque sans doute le plus pertinent dans cette liste comparer au besoin de josephtux :wink:

#13

J’utilise peu de desktop sous linux, la faute aux jeux videos, donc j’ai peu voir pas du tout besoin sur mes machines d’un tel outil, mais en effet il devrait y figurer.