Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

[RÉSOLU] Log rkhunter

M'sieur Piero

Bon, je viens d'installer rkhunter, et le rkhunter --checkall m'a révélé quelques problèmes...

pierre@pierre-laptop:~$ sudo cat /var/log/rkhunter.log | grep Warning
[07:06:01] /usr/sbin/unhide                                  [ Warning ]
[07:06:01] Warning: The file '/usr/sbin/unhide' exists on the system, but it is not present in the rkhunter.dat file.
[07:06:02] /usr/sbin/unhide-linux26                          [ Warning ]
[07:06:02] Warning: The file '/usr/sbin/unhide-linux26' exists on the system, but it is not present in the rkhunter.dat file.
[07:09:22]   Checking if SSH root access is allowed          [ Warning ]
[07:09:22] Warning: The SSH and rkhunter configuration options should be the same:
[07:09:23]   Checking /dev for suspicious file types         [ Warning ]
[07:09:23] Warning: Suspicious file types found in /dev:
[07:09:27]   Checking version of Exim MTA                    [ Warning ]
[07:09:27] Warning: Application 'exim', version '4.69', is out of date, and possibly a security risk.
[07:09:28]   Checking version of GnuPG                       [ Warning ]
[07:09:28] Warning: Application 'gpg', version '1.4.9', is out of date, and possibly a security risk.
[07:09:28]   Checking version of OpenSSL                     [ Warning ]
[07:09:28] Warning: Application 'openssl', version '0.9.8g', is out of date, and possibly a security risk.
[07:09:28]   Checking version of OpenSSH                     [ Warning ]
[07:09:28] Warning: Application 'sshd', version '5.1p1', is out of date, and possibly a security risk.

Si certains résultats sont faciles à interpréter (étant encore sous Jaunty, les logiciels ne sont plus forcément tout frais...), ceux concernant les fichiers /usr/sbin/unhide et /usr/sbin/unhide-linux26 me chiffonne un peu... De même, si le

Suspicious file types found in /dev

a été vérifié et qu'aucun rootkit n'a été trouvé, est-ce que cela pose problème?

Quant au

Checking if SSH root access is allowed

, je pense qu'il est du au fait qu'une de mes clés SSH est reliée à mon N810 qui est obligé d'établir la connection SSH en root...Mais peut-être me trompe-je et ma sécurité est compromise...

En espérant une aide à l'interprétation de ces résultats.

M'sieur Piero

Up ???
:/

Hoper

Ce qui me semble très clair c'est que tu as fait des modifications système entre les deux fois ou tu as lancé rkhunter. Donc par exemple il te prévient que "tiens c'est bizarre, la commande unhide bidule elle était pas la avant" A toi de savoir si c'est normal et si c'est un truc que tu as installé ou pas. Bref, si tu as installé le moindre paquet depuis la dernière fois que tu l'a lancé, bein c'est peut être normal. Sérieusement je vois aucun problèmes dans ce log la.

Je me répète mais dans 99% des cas, rkhunter ne sert à rien.

M'sieur Piero

Okay, c'est vrai qu'un parefeu est amplement suffisant, mais voilà l'historique de mon bash.rc:

  160  sudo apt-get install rkhunter 
  161  sudo rkhunter -v
  162  sudo rkhunter --update
  163  sudo rkhunter --checkall
  164  cat /var/log/rkhunter.log
  165  sudo cat /var/log/rkhunter.log
  166  sudo cat /var/log/rkhunter.log | grep warning

Donc, je n'ai pas modifié les fichiers système entre les deux... Où est le problème dans ce cas-là???

Hoper

Aucune idée, je n'ai jamais utilisé ce bidule, je préfère me fier à mon cerveau 🙂
Si tu as un doute sur unhide, vérifie précisément ce que c'est, d'ou il vient etc.

Tiens, commence par exemple par :
dpkg -S /usr/sbin/unhide

M'sieur Piero

Violent...
dpkg -S /usr/sbin/unhide ne donne rien...

un cat me donne des chiers de caractères bizarres...

un gedit me donne un truc impossible...

Grosse interrogation...

En même temps, c'est de cette façon qu'on progresse sous nux...

[EDIT] : Après une vérification sur ubuntuforums.org, il semblerait que ce ne soit pas grand chose...
Merci quand même!

Hoper

Le dpkg ne renvoi rien ? curieux. A moins que ce ne soit un lien ?
Que donne ls -l /usr/sbin | grep unhide

Regarde aussi ce que donne :
dpkg -S /usr/sbin/unhide-linux26

Hoper

ok... la méthode google n'a rien de critiquable pour trouver ce genre de réponses... mais c'est moins fun que de trouver toi même. Donc par simple curiosité, je suis toujours preneur des retour des commandes indiquées.

M'sieur Piero

pierre@pierre-laptop:~$ ls -l /usr/sbin | grep unhide
lrwxrwxrwx 1 root    root         24 2009-12-07 07:03 unhide -> /etc/alternatives/unhide
-rwxr-xr-x 1 root    root     515040 2008-06-22 03:35 unhide-linux26
-rwxr-xr-x 1 root    root     510944 2008-06-22 03:35 unhide-posix
-rwxr-xr-x 1 root    root     507036 2008-06-22 03:35 unhide-tcp
pierre@pierre-laptop:~$ dpkg -S /usr/sbin/unhide-linux26
unhide: /usr/sbin/unhide-linux26
pierre@pierre-laptop:~$ dpkg -S /usr/sbin/unhide
dpkg : /usr/sbin/unhide introuvable.

Voilà!

D'ailleurs, si tu pouvais m'expliquer la signification de ces commandes et ton raisonnement, car moi aussi, je veux comprendre (enfin, apprendre) 😉
je connais dpkg, mais pas l'option -S, et pour ls, je connais ls-l /usr/bin/ | grep unhide, je connais, mais je ne vois pas pourquoi tu me demandes cela. Tu cherches à voir les droits sur les fichiers, mais /usr/sbin/ est bien possédé par root, non? tu veux savoir s'il s'agit de fichier exécutable (éventuellement par tous les utilisateurs?) ?

Merci!

Hoper

D'ailleurs, si tu pouvais m'expliquer la signification de ces commandes et ton raisonnement,

Il suffit de demander...
Puisque tu m'indique (#6) que la commande 'dpkg -S /usr/sbin/unhide' ne renvoi rien, j'ai logiquement supposé (#7) que /usr/sbin/unhide ne devait pas être un véritable fichier, mais juste un lien crée par un paquet lors de sa post-installation.

La commande ls avait pour but de vérifier cela. Et elle l'a fait :

lrwxrwxrwx 1 root root 24 2009-12-07 07:03 unhide -> /etc/alternatives/unhide

Comme on peut le voir, il ne s'agit pas d'un fichier, mais d'un lien vers /etc/alternatives/unhide.

L'étape suivante est donc de déterminer quel paquet à installer le fichier /etc/alternatives/unhide. Pareil pour unhide-linux26. C'est le rôle de la commande :
"dpkg -S unhide-linux26" par exemple, qui va chercher (S pour search) à quel paquet ce fichier appartient. Une fois le nom du paquet obtenu, on réalisera que "ah mais oui, c'est vrai, hier il y a eu une mise à jour de ce paquet..." Et que donc, comme d'hab, aucun problème 🙂

Bonne soirée...

M'sieur Piero

Super merci...

Ja tout compris maintenant!

fti74

Le plus drole dans le message d'avertissement de rkhunter sur unhide c'est que unhide est un paquet dont l'installation est nécessaire au paquet rkhunter. Bref rkhunter se méfie d'un de ses propres composants....🙂