Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 01-08-2017 20:47:09

gnulux
Membre
Lieu : cambrousse
Distrib. : Debian GNU/Linux - Debian 8 / Debian 9
Noyau : Linux 4.9.0-0.bpo.3-amd64 / Linux 4.9.0-3-amd64
(G)UI : LXDE
Inscription : 26-07-2017
Site Web

Pourquoi encore Linux/Ebury Windigo avec Chkrootkit?

Bonjour,

Une fois par an, je m’amuse avec rkhunter, mais là, je n’arrive pas à mettre à jour sa base de données à jour:

rkhunter --update


Invalid WEB_CMD configuration option: Relative pathname: "/bin/false"



Donc, je me rabats sur chkrootkit.

J’ai lu ce que j’ai pu trouver sur chkrootkit et les false positive. Pour 2 ordinateurs, tous les deux avec Debian 8 à jour, la même version de chkrootkit et la même version d’openssh-client et openssh-server, on n’a pas le même résultat avec la commande

chkrootkit -q



Sur un ordinateur où SSH est utilisé pour communiquer avec un serveur chez TuxFamily, on a:

Possible Linux/Ebury - Operation Windigo installetd



La commande

netstat -nap | grep "@/proc/udevd"


ne retourne rien, donc c’est rassurant, en principe, d’après ce que j’ai lu.

Autres commandes pour se rassurer smile

find /lib* -type f -name libkeyutils.so* -exec ls -la {} \;


-rw-r--r-- 1 root root 14256 Nov 27  2014 /lib/x86_64-linux-gnu/libkeyutils.so.1.5



Résultat ok si la commande affiche moins de 15kb pour ce fichier — heu 14256 octets, on y est presque mais pas tout à fait?

find /lib* -type f -name libns2.so


Cette commande ne doit rien retourner

Sur l’autre ordinateur, on n’a pas de ligne Possible Linux/Ebury….Windigo. Le ssh n’a été utilisé que pour communiquer dans le réseau local.

Cela fait depuis 2015 que ce faux positif existe, il y a eu des rapports de bug, des correctifs. C’est toujours là, on dirait.

Ce truc est probablement un faux positif mais tout de même, il devrait apparaître dans les 2 ordinateurs.

Si Ebury Windigo est un vieux rootkit, rkhunter devrait le trouver, même si la base de données est ancienne. Il n’a rien trouvé de bizarre sauf

/dev/shm/pulse-shm-3226076170: data
[20:20:00]          /dev/shm/pulse-shm-2995502313: AmigaOS bitmap font



Pour ceux qui veulent se débarrasser de ce message sans importance, apparemment,  on peut faire:

sudo nano /etc/rkhunter.conf


et ainsi ajouter la ligne suivante au fichier de config

ALLOWDEVFILE=/dev/shm/pulse-shm-*


source: https://bugs.debian.org/cgi-bin/bugrepo … bug=445716

Donc, pourquoi ce résultat sur un ordinateur et pas sur l’autre?

Dernière modification par gnulux (01-08-2017 20:48:32)

Hors ligne

Pied de page des forums