Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

chkrootkit et rkhunter

yayals

Bonjour,
j'ai lancer les commandes chkrootkit et rkhunter pour vérifier mon système et voici les retours:
chkrootkit:

[yayals@yayals-Aspire-5740:~]$ sudo chkrootkit -q

/usr/lib/eclipse/plugins/org.eclipse.ui.intro.universal_3.2.600.dist/.api_description /usr/lib/eclipse/plugins/org.eclipse.ui.intro.universal_3.2.600.dist/.options /usr/lib/eclipse/plugins/org.eclipse.core.runtime.compatibility.registry_3.5.100.dist/.api_description /usr/lib/eclipse/plugins/org.eclipse.ui.workbench.compatibility_3.2.101.dist/.api_description /usr/lib/eclipse/plugins/org.eclipse.platform_3.8.1.dist/.api_description /usr/lib/eclipse/dropins/sdk/plugins/org.eclipse.pde.build_3.8.1.dist/.api_description /usr/lib/eclipse/dropins/sdk/plugins/org.eclipse.pde.build_3.8.1.dist/.options /usr/lib/eclipse/configuration/org.eclipse.osgi/bundles/35/1/.cp /usr/lib/eclipse/p2/org.eclipse.equinox.p2.engine/profileRegistry/PlatformProfile.profile/.lock /usr/lib/eclipse/p2/org.eclipse.equinox.p2.engine/profileRegistry/PlatformProfile.profile/.data /usr/lib/eclipse/p2/org.eclipse.equinox.p2.engine/profileRegistry/PlatformProfile.profile/.data/.settings /usr/lib/eclipse/p2/org.eclipse.equinox.p2.engine/.settings /usr/lib/eclipse/.eclipseproduct /usr/lib/python2.7/dist-packages/PyQt4/uic/widget-plugins/.noinit /usr/lib/jvm/.java-1.7.0-openjdk-amd64.jinfo
/usr/lib/eclipse/configuration/org.eclipse.osgi/bundles/35/1/.cp /usr/lib/eclipse/p2/org.eclipse.equinox.p2.engine/profileRegistry/PlatformProfile.profile/.data /usr/lib/eclipse/p2/org.eclipse.equinox.p2.engine/profileRegistry/PlatformProfile.profile/.data/.settings /usr/lib/eclipse/p2/org.eclipse.equinox.p2.engine/.settings
Warning: /sbin/init INFECTED
wlan0: PACKET SNIFFER(/sbin/wpa_supplicant[1252], /sbin/dhclient[1437])
user root deleted or never logged from lastlog!

rkhunter:

[yayals@yayals-Aspire-5740:~]$  sudo rkhunter --checkall --report-warnings-only
Warning: The command '/usr/bin/unhide.rb' has been replaced by a script: /usr/bin/unhide.rb: Ruby script, ASCII text
Warning: User 'postfix' has been added to the passwd file.
Warning: Group 'postfix' has been added to the group file.
Warning: Group 'postdrop' has been added to the group file.
Warning: Suspicious file types found in /dev:
         /dev/.udev/rules.d/root.rules: ASCII text
Warning: Hidden directory found: '/etc/.java'
Warning: Hidden directory found: '/dev/.udev'
Warning: Hidden file found: /dev/.initramfs: symbolic link to `/run/initramfs'

je n'arrive pas a savoir si j'ai de quoi inquiéter.
Merci d'avance

[supprimé]

En terme de sécurité, il faut toujours s'inquiéter 😉

Plus sérieusement, avant de sombrer dans la paranoïa, demande-toi d'abord si tu as bien respecté les règles élémentaires de sécurité. Hier encore, j'en parlais ici : http://forum.ubuntu-fr.org/viewtopic.php?id=1262361

Je précise ces règles souvent car, quand on respecte ces mesures évidentes, il est difficile (et donc peu probable) d'être contaminé par un malware...
Si bien sûr tu installes des paquets non-officiels, que tu surfes sur des sites peu recommandables, télécharges n'importe quoi et utilises Root pour diverses applications... ben là, oui, tout est possible !

Après, au delà des résultats de l'analyse de Chkrootkit et Rkhunter, as-tu constaté un comportement anormal du système ?

yayals

Pour les comportements anormales les seuls dont je me souvienne sont un au premier redémarrage après la mise a jours vers 13.04 ou l'ordi a affiché un écran noir et n'a plus bougé (plus de problèmes de ce genre depuis) et l'autre aujourd’hui ou l'ordi est resté sur le plymouth a l'extinction et n'a plus bougé. Mais bon je pense que ces deux bugs sont en rapport avec la MAJ.
Sinon tu ne m'a pas dit ce que tu pensait de mon Chkrootkit et mon Rkhunter

yayals

[supprimé]

Bonjour,

Pour en revenir aux résultats de te tests, il faut bien avouer que l'interprétation des résultats de Chkrootkit et Rkhunter est souvent délicate, notamment à cause des faux-positifs que ces deux outils occasionnent.

Cependant, vu que tu as un « Infected » avec Chkrootkit (qui semblerait avoir découvert qq chose... mais aucune certitude !) et le « Warning » de Rkhunter, dans le doute (on n'est jamais assez prudent),
(1) je désinstallerai totalement (y compris les fichiers de configuration) Eclipse puis referai les tests (qui normalement redeviennent normaux) avec la suppression de tous les fichiers.
(2) ensuite réinstallation via les paquets officiels et de nouveau test : si « l'infected et le warning » reviennent, alors RAS, il s'agissait de faux-positifs car je doute vraiment qu'il y ai un rootkit dans le paquet officiel d'Eclipse.

@+
😉

yayals

Bon du coup j'ai supprimé eclipse (comment tu sais que le probleme vient d'eclipse ? il parle de /sbin/init) avec un sudo apt-get autoremove --purge eclipse.
en suite:

[yayals@yayals-Aspire-5740:~]$ sudo chkrootkit -q

/usr/lib/python2.7/dist-packages/PyQt4/uic/widget-plugins/.noinit /usr/lib/jvm/.java-1.7.0-openjdk-amd64.jinfo

Warning: /sbin/init INFECTED
wlan0: PACKET SNIFFER(/sbin/wpa_supplicant[1293], /sbin/dhclient[1447])
user root deleted or never logged from lastlog!
[yayals@yayals-Aspire-5740:~]$ sudo rkhunter --checkall --report-warnings-only
Warning: The command '/usr/bin/unhide.rb' has been replaced by a script: /usr/bin/unhide.rb: Ruby script, ASCII text
Warning: Suspicious file types found in /dev:
         /dev/.udev/rules.d/root.rules: ASCII text
Warning: Hidden directory found: '/etc/.java'
Warning: Hidden directory found: '/dev/.udev'
Warning: Hidden file found: /dev/.initramfs: symbolic link to `/run/initramfs'

comme tu peux le voir j'ai toujour le warning et le infected.
Je réinstalle eclipse.
Ca veut donc dire que RAS ou non ?

[supprimé]

yayals a écritBon du coup j'ai supprimé eclipse (comment tu sais que le probleme vient d'eclipse ? il parle de /sbin/init) avec un sudo apt-get autoremove --purge eclipse.
en suite:

[yayals@yayals-Aspire-5740:~]$ sudo chkrootkit -q

/usr/lib/python2.7/dist-packages/PyQt4/uic/widget-plugins/.noinit /usr/lib/jvm/.java-1.7.0-openjdk-amd64.jinfo

Warning: /sbin/init INFECTED
wlan0: PACKET SNIFFER(/sbin/wpa_supplicant[1293], /sbin/dhclient[1447])
user root deleted or never logged from lastlog!
[yayals@yayals-Aspire-5740:~]$ sudo rkhunter --checkall --report-warnings-only
Warning: The command '/usr/bin/unhide.rb' has been replaced by a script: /usr/bin/unhide.rb: Ruby script, ASCII text
Warning: Suspicious file types found in /dev:
         /dev/.udev/rules.d/root.rules: ASCII text
Warning: Hidden directory found: '/etc/.java'
Warning: Hidden directory found: '/dev/.udev'
Warning: Hidden file found: /dev/.initramfs: symbolic link to `/run/initramfs'

comme tu peux le voir j'ai toujour le warning et le infected.
Je réinstalle eclipse.
Ca veut donc dire que RAS ou non ?

C'est ton résultat initial de Chkrootkit qui montre que c'est Eclipse 😉

Pour Rkhunter, je pense que c'est bien un faux-positif.
Pour Chkrootkit, j'ai un doute. Il faudrait qu'un pro de ces deux outils y jette un oeil. Tu n'as pas observé de comportements bizaroïdes sur ton réseau ? (ex : trafic non désiré...)

willcoyote

yayals a écritcomme tu peux le voir j'ai toujour le warning et le infected.

https://bugzilla.redhat.com/show_bug.cgi?id=636231

yayals

willcoyote a écrit
yayals a écritcomme tu peux le voir j'ai toujour le warning et le infected.
https://bugzilla.redhat.com/show_bug.cgi?id=636231

cool merci 🙂
ca veut donc dire que je n'ai pas de problèmes 🙂

willcoyote

Personnellement, je fais plus confiance aux mises a jour, aux dépôts sécurises et a la communauté qu'en ces programmes de détection

Tiens, pour voir, je viens de passer clamav sur mon /home

résultat: 86 virus potentiel(s) trouvé(s) menaces (105916 fichiers analysés)

Et curieusement, ça ne m’inquiète pas plus que ça, surtout lorsque je regarde les fichiers incriminés (la plupart venant de 2 jeux installés a partir de dvd)

yayals

ouais bon je vais pas m'inquiéter alors 🙂

[supprimé]

willcoyote a écritPersonnellement, je fais plus confiance aux mises a jour, aux dépôts sécurises et a la communauté qu'en ces programmes de détection

Tiens, pour voir, je viens de passer clamav sur mon /home
résultat: 86 virus potentiel(s) trouvé(s) menaces (105916 fichiers analysés)
Et curieusement, ça ne m’inquiète pas plus que ça, surtout lorsque je regarde les fichiers incriminés (la plupart venant de 2 jeux installés a partir de dvd)

Normal de ne pas s'inquiéter puisqu'il s'agit des malwares « Windows » (cible de cet anti-virus).

Je suis d'accord avec toi quand tu dis que si le système est à jour, alors pas grand chose à craindre mais il faut ajouter qu'à ce principe de màj, il ne faut pas faire d'installation manuelle, utiliser avec une extrême prudence Adobe Flash et Java (voir ne pas les utiliser !), ne pas utiliser "root"... etc
Bref, avoir une bonne hygiène informatique et un comportement responsable (sans jamais faire d'exception).

[supprimé]

SangokuSS a écritNormal de ne pas s'inquiéter puisqu'il s'agit des malwares « Windows » (cible de cet anti-virus).

Ni a t'il pas un risque de les transporter par mail chez ceux qui sont sous W
Car il existe encore des personnes qui n'ont pas d'antivirus ni de pare feux sur leur PC sous W , Si SI !!
J'ai eu la visite d'un copain dans ce cas qui se plaignait que son Pc ramait et ne fonctionnait pas normalement
Une AM à le désinfecter

willcoyote

Curiosus a écritNi a t'il pas un risque de les transporter par mail chez ceux qui sont sous W

Non car ce que clamav m'a détecté ce ne sont pas des virus (ou alors le jeu Tomb raider underworld vendu dans le commerce en contient plus de 20)
Ensuite ce que j'envoie par mail, c'est du texte ou des images/documents créé par moi même donc aucun risque

Après, si des utilisateurs windows n'ont pas d'antivirus, qu'ils assument les conséquences

Une AM à le désinfecter

http://ploum.net/post/36-je-ne-suis-pas-un-numero-de-hotline-je-suis-un-geek-libre 😉

[supprimé]

Curiosus a écrit
SangokuSS a écritNormal de ne pas s'inquiéter puisqu'il s'agit des malwares « Windows » (cible de cet anti-virus).
Ni a t'il pas un risque de les transporter par mail chez ceux qui sont sous W
Car il existe encore des personnes qui n'ont pas d'antivirus ni de pare feux sur leur PC sous W , Si SI !!
J'ai eu la visite d'un copain dans ce cas qui se plaignait que son Pc ramait et ne fonctionnait pas normalement
Une AM à le désinfecter

Oui, c'est le risque biensûr, mais là n'était pas la question initiale du post 😉
Après il faut relativiser deux choses :
- Les antivirus ont une efficacité très relative (pour ne pas dire très faible) et ne remplaceront jamais un comportement responsable : rappelons qu'un malware a souvent pour objectif de « voler des infos », et donc de passer inaperçu... il est difficile de savoir si, oui ou non, une machine Windows est infectée...
- L'une des premières causes d'infection reste le comportement de l'utilisateur lambda qui installe tout et n'importe quoi sur sa machine, ne fait pas les mises à jour de sécurité régulièrement ou utilise Adobe Flash, Java... etc. Que ce soit sous W$ ou Gnu/Linux, il devient de plus en plus difficile d'installer un malware sans être administrateur (bref, sans qu'on ne l'autorise directement).

Donc faut-il systématiquement chercher et éliminer tous les malwares W$ d'une machine sous Gnu/Linux sous prétexte que ces utilisateurs n'appliquent pas les règles de base de la sécurité informatique (par ex : ne pas utiliser le pc au quotidien en tant qu'admin) ? Personnellement, je ne le crois pas.