Warning rkhunter - C'est grave docteur ?

Support Debian
#1

En exécutant root kit hunter sur ma ubuntu je relève dans la rapport les messages d’alertes suivants ;

[19:07:04] /usr/bin/chattr [ Warning ] [19:07:04] Warning: The file properties have changed: [19:07:04] File: /usr/bin/chattr [19:07:04] Current hash: 4703e5adba10128a0abbc036cefae73f754db142 [19:07:04] Stored hash : 2502e2f117415f56cd64568b042a91dd3ef79b80 [19:07:04] Current inode: 8224832 Stored inode: 4292978 [19:07:04] Current size: 7228 Stored size: 7296 [19:07:04] Current file modification time: 1197053992 [19:07:04] Stored file modification time : 1189103575

[19:07:05] /usr/bin/find [ Warning ] [19:07:05] Warning: The file properties have changed: [19:07:05] File: /usr/bin/find [19:07:05] Current inode: 4294772 Stored inode: 4292642 [19:07:05] Current file modification time: 1197465595 [19:07:05] Stored file modification time : 1191436615

[19:07:07] /usr/bin/lsattr [ Warning ] [19:07:07] Warning: The file properties have changed: [19:07:07] File: /usr/bin/lsattr [19:07:07] Current hash: c3eba9c1952ccf894f8f71b999b081fe5ad5f4de [19:07:07] Stored hash : 4ba9ee6cb8455509347059f7917ef7ed4bab6891 [19:07:07] Current inode: 8224833 Stored inode: 4293125 [19:07:07] Current size: 6000 Stored size: 6068 [19:07:07] Current file modification time: 1197053992 [19:07:07] Stored file modification time : 1189103575

[19:07:07] /usr/bin/perl [ Warning ] [19:07:08] Warning: The file properties have changed: [19:07:08] File: /usr/bin/perl [19:07:08] Current hash: 9c4d220d96fbaf9aaedbe4e034a767e8d510d7f6 [19:07:08] Stored hash : 155faff21807a6ad3687806ba7737223cd56ac68 [19:07:08] Current inode: 8224908 Stored inode: 4293354 [19:07:08] Current size: 1078128 Stored size: 1078160 [19:07:08] Current file modification time: 1196759924 [19:07:08] Stored file modification time : 1191046830

[19:07:58] Checking for enabled inetd services [ Warning ] [19:07:58] Warning: Found enabled inetd service: ftp

[19:08:28] Checking for hidden files and directories [ Warning ] [19:08:28] Warning: Hidden directory found: /etc/.java [19:08:28] Warning: Hidden directory found: /dev/.static [19:08:28] Warning: Hidden directory found: /dev/.udev [19:08:28] Warning: Hidden directory found: /dev/.initramfs
Pourriez-vous m’aider à les décrypter ?

#2

salut,

Cela peut venir d’une mise à jour d’apt…sinon rassure toi rien de bien grave tu es quelle version ?

#3

si tu es sûr que ces fichiers ont été mis à jour, tu peux supprimer le warning avec rkhunter --propupd

#4

Idem chez moi.

/etc/.java /etc/.pwd.lock /dev/.static /dev/.udev /dev/.initramfs /dev/.initramfs-tools

Pas d’inquiétude donc. A moins que nous ayons été contaminés tous les deux :wink:

#5

À dire vrai je ne m’inquiétais pas plus que ça, mais deux choses m’intrigue plus particulièrement ;

[19:07:58] Checking for enabled inetd services [color=#FF0000][ Warning ][/color]
[19:07:58] Warning: Found enabled inetd service: ftp

Et à quoi correspond ce fichier ;

#6

Tu as activé ftp dans /etc/inetd.conf?

#7

Vérification faite, le démon n’est pas lancé au démarrage - Mais j’utilise parfois un client FTP (gFTP) pour transférer mes fichiers, ceci expliquerai cela ?

#8

non. là c’est le service.

#9

Je me disais…
Donc cette fonction a pu être activé à mon insu ?

#10

Oui, mais ça nécessite une compromission avancée de ta machine, et je pense que tu t’en serais aperçu.
Tu as peut être installé un service ftp sans t’en apercevoir ?

#11

[quote=“mattotop”]Oui, mais ça nécessite une compromission avancée de ta machine, et je pense que tu t’en serais aperçu.
Tu as peut être installé un service ftp sans t’en apercevoir ?[/quote]
Ben surtout avec ubuntu…
Mais logiquement il ne devrait pas être activé !

#12

Ben vérifies si rkhunter n’est pas trop tatillon, les dates de modifs des fichiers, etc…
Que dit last, aussi ?