Wargnign avec rkhunter

Support Debian
#1

hello

j’ai fait un scan après une mise a jour du systeme et ensuite on passe par un rkhunter:

    /usr/sbin/unhide                                         [ Warning ]
    /usr/sbin/unhide-linux26                                 [ Warning ]

est-ce normal ?
debian 5.0 stable

#2

Salut, d’après ce que je vois en cherchant vite fais sur le net, c’est qu’ils ne sont pas connus par la base de donnée de rkhunter, du coup il averti.

#3

Salut,

Il y a une commande de debian pour savoir de quel paquet viens un fichier, mais laquelle ?! :confused:
Edit: il faut installer le paquet apt-file
puis faire:

[code]# apt-file update <— attention c’est long car il télécharge

apt-file search unhide[/code]

Cela semble provenir du paquet unhide, si tu l’as d’installé ?

#4

Et j’ai le même “problème” chez moi, avec les unhide, donc ne t’inquiètes pas trop :smt002

#5

[quote=“helid”]Salut,

Il y a une commande de debian pour savoir de quel paquet viens un fichier, mais laquelle ?! :confused:
Edit: il faut installer le paquet apt-file
puis faire:

[code]# apt-file update <— attention c’est long car il télécharge

apt-file search unhide[/code]

Cela semble provenir du paquet unhide, si tu l’as d’installé ?[/quote]
oui il est installer.

#6

oki je ferme le topic alors :slightly_smiling:

Merci pour vos réponse :smt006

#7

Enfin, il a tout de même un problème.

Tu peux lancer unhide en ligne de commande:

unhide proc
unhide sys
unhide brute

Il n’y a pas de base de données en jeu pour unhide.

[quote]
unhide is a forensic tool to find processes hidden by rootkits, Linux kernel modules or by other
techniques. It detects hidden processes using three techniques:

   The proc technique consists of comparing /proc with the output of /bin/ps.

   The sys technique consists of comparing information gathered from /bin/ps with information gath‐
   ered from system calls.

   The  brute technique consists of bruteforcing the all process IDs. This technique is only avail‐
   able on Linux 2.6 kernels.[/quote]

edit:
le warning doit venir du fait que… unhide n’est pas installé.

#8

Alors c’ est installer: dpkg -l |grep unhide ii unhide 20080519-2 Forensic tool to find hidden processes and p 

unhide brute
Unhide 20080519
yjesus@security-projects.com


[*]Starting scanning using brute force against PIDS

Found HIDDEN PID: 18910

seulement rien, pas de processus avec ce PID ?
ensuite la même commande ne donne plus rien ?