Rkhunter /usr/bin/ [ Résolu ]

Bonsoir tout le mondes,

Ce soir en fesant une petite analyse via rkhunter celui ci m’a trouvé des warning pour le moins inhabituel, j’ai executer le test sur un autre système je n’obtiens pas les même warning, en sachant que rkhunter trouve pas mal de faux positif je ne m’inquiète pas trop et me dit que ça soit venir de logiciels installé entre temps.

Seulement les fameux warning ne me disent pas à quoi servent les dit fichiers infecté, j’ai beau faire une recherche rien ne m’éclaire sur l’utilité de certain répertoire considéré comme suspect par rkhunter, je vous met ci joint la liste qu’il m’a trouvé, si vous pouviez m’éclairer sur l’utilité des répertoires, et potentiellement me dire ce qui pourraient potentiellement être considéré comme de vrai risques …

/usr/bin/chattr : Celui ci j’ai trouvé l’utilité mais ça m’inquiète de voir qu’il apparait en warning quand on sait à quoi il sert …

/usr/bin/lsattr : Idem que le premier l’utilité étant liée

/usr/bin/size : Inconnu au bataillons …

/usr/bin/strings : Inconnu aussi

/usr/bin/lwp-request : Il me semble que celui ci vient d’une application installé utilisant du SSL

/usr/bin/x86_64-linux-gnu-size

/usr/bin/x86_64-linux-gnu-strings

Checking for suspicious shared memory segments

Checking for hidden files and directories

Voilà pour la liste … Merci d’avance à tous et bonne soirée à vous

fp2@debpacha:~$ file /usr/bin/size
/usr/bin/size: symbolic link to x86_64-linux-gnu-size
fp2@debpacha:~$ ls -l /usr/bin/size
lrwxrwxrwx 1 root root 21 mai   10 12:12 /usr/bin/size -> x86_64-linux-gnu-size
fp2@debpacha:~$

et quelque chose d’analogue pour /usr/bin/strings

Le lien symbolique est un détail d’implémentation pour le support d’architectures multiples, en pratique pour pouvoir installer et exécuter des binaires 32bits sur une architecture amd64.

Comment trouver quel paquet fournit une commande ? Par exemple pour /usr/bin/strings

fp2@debpacha:~$ dpkg-query --search /usr/bin/strings
binutils: /usr/bin/strings
fp2@debpacha:~$

C’est donc le paquet binutils

fp2@debpacha:~$ apt-cache policy binutils
binutils:
  Installé : 2.28-5
  Candidat : 2.28-5
 Table de version :
 *** 2.28-5 500
        500 http://ftp.fr.debian.org/debian stretch/main amd64 Packages
        100 /var/lib/dpkg/status
fp2@debpacha:~$

Ce genre de commandes fait partie du minimum de base quand on crée des binaires.

fp2@debpacha:~$ size -B /usr/bin/size /usr/bin/strings
   text    data     bss     dec     hex filename
  23794    1488    1336   26618    67fa /usr/bin/size
  23176    2120     168   25464    6378 /usr/bin/strings
fp2@debpacha:~$

Pourrait-on avoir la teneur exacte de l’avertissement ? Trouver un problème sur un paquet aussi fondamental que binutils relève pour moi de l’exploit.
De plus la terminologie utilisée (fichiers infectés) en dit long sur l’attitude de certains devant l’inconnu.

strings $(which rkhunter) | less

Pour balayer vos doutes, essayez de comprendre comment fonctionne un système Posix (les commandes strings et size sont des normes Posix) et pour ce faire lisez au moins les pages de manuel

man size strings

et pour aller plus vite, vous installez le paquet debian-goodies et vous donnez le nombre d’entrées du menu des fichiers de documentation qui apparaît en tapant la commande

debmany binutils

Cordialement,
Regards,
Mit freundlichen Grüßen,
مع تحياتي الخالصة

F. Petitjean
Ingénieur civil du Génie Maritime.
« On ne perd pas son temps en aiguisant ses outils. »
Proverbe français

« Moi, lorsque je n’ai rien à dire, je veux qu’on le sache. » (R. Devos)

Bonsoir,

Après vérification, mes soupcons étaient fondé j’avais bien au moins un rootkit d’installé sur mon sytème, j’ai donc formater considérant que c’était plus prudent

En vous remerciant tout de même @littlejohn75

un rootkit installé sur un système Debian, un Linux dérivé ou autre ?

Ce qui serait prudent c’est de tenter de comprendre comment vous avez pu en arriver là.

Cordialement,
Regards,
Mit freundlichen Grüßen,
مع تحياتي الخالصة

F. Petitjean
Ingénieur civil du Génie Maritime.

« L’arbre tombe toujours du côté où il penche. »
Proverbe français
If you have a procedure with 10 parameters, you probably missed some.
Alan J. Perlis

Je suis sous Kali Linux, car je m’intéresse à la sécurité informatique

Afin d’anticiper et d’éviter toute confusion avec “Kevin Du 94” je suis au fait des lois, et donc n’utilise pas ce genre d’outils à la légère, j’utilise Root-me afin de me perfectionner dans un cadre qui reste légal . Je préfère préciser et me justifier avant qu’on me jette la pierre de façon prématurée, comme cela peut si souvent arrivé

Je pense que cela vient de scrypts téléchargé via Github, j’ai toujours eu conscience qu’installer des scrypts github était à double tranchant, je ne fais pourtant pas d’almagame restant conscient qu’il n’y a, fort heureusement pas que des fichiers au code source douteux .

Je ne suis absolument pas du genre à crier au loup à tout va, et à prendre des vessies pour des lanternes au seul prétexte d’assouvir un comportement névrotique généralisé, destiné à me complaire dans ma zone de confort et d’ingurigiter de prétendu savoir, par le seul biais des stéréotypes et soit disant "acquis"de la pensée collective, non sans vouloir te sermonner, où paraitre désagréable, je pense être suffisamment au fait de mon indépendance intellectuelle pour savoir entre autres, ne pas stigmatiser autrui sur la seule base d’une phrase.

Tout ça pour dire que non ! Lorsque j’ai utilisé la terminologie “fichiers infecté” ce n’était pas de la vulgarisation, je sais utiliser google, en tirer des conclusions sur les dits problèmes, et en fonction venir humblement demander de l’aide

En espérant ne pas t’avoir froissé, car loin de moi l’idée de vouloir t’offusquer, je souhaitais simplement préciser ce qui selon moi devait l’être, je reste bien entendu conscient que tu t’ai gentiment porter volontaire pour tenter de m’aider, et je te remercie pour cet acte désintéressé .

Bonjour,

de ce fait, les fichiers marqués par rkhunter pourraient être des contrefaçons malveillantes des paquets.
A ce moment là j’imagine que tu peux télécharger le paquet (même version, bien sûr) depuis une source fiable, et t’en servir pour vérifier l’intégrité de ta propre version (voir par ici )