L'activité de mon disque dur m'inquiète !

Avell Diroll avelldiroll at yahoo.fr
Mer 12 Déc 10:39:58 UTC 2007


Lami René wrote:
> Avell Diroll a écrit :
> 
> ...
>>> -:0
>>> Ne me plait pas du tout! j'espère que c'est une erreur de formatage du
>>> mail ... en tout cas, comme cette machine a exposé des serveurs à
>>> internet (apache , mysql ... et peut etre d'autres), et ayant vu des
>>> tutoriaux pour héberger soit même son site qui ne s'inquiète que très
>>> peu de la sécurité des dits sites, il serait interessant de tester la
>>> présence de rootkit sur cette machine!
>>> http://doc.ubuntu-fr.org/tutoriel/que_faire_en_cas_de_serveur_compromis?s=rootkit
>>> (notemment la partie "Vérification des rootkits")
>>> Il est peu probable que ce soit ça, les réglages par defaut d'ubuntu
>>> étant correctement sécurisé, mais il est toujours interessant de vérifier.
>>>   
>>   
>> Je vais regarder de près cette page après l'envoi de ma présente réponse !...
>>   
> Je bonsoir Ju,
> 
> Voici un aperçu de ce que donne la section "Vérification des rootkits"
> sur mon système :
> 
> Avec la commande « sudo chkrootkit », j'ai noté les lignes suivantes :
> 
> ...
> Searching for suspicious files and dirs, it may take a while...
> /usr/lib/j2se/1.4/jre/.systemPrefs
> /usr/lib/j2se/1.4/jre/.systemPrefs/.system.lock
> /usr/lib/j2se/1.4/jre/.systemPrefs/.systemRootModFile
> /usr/lib/firefox/.autoreg
> /lib/modules/2.6.22-14-generic/volatile/.mounted
> /usr/lib/j2se/1.4/jre/.systemPrefs
> ...
> Searching for OBSD rk v1... /usr/lib/security
> /usr/lib/security/classpath.security
> ...
> Searching for anomalies in shell history files... Warning: `' is linked
> to another file
> Checking `asp'... not infected
> Checking `bindshell'... not infected
> Checking `lkm'... chkproc: nothing detected
> Checking `rexedcs'... not found
> Checking `sniffer'... lo: not promisc and no packet sniffer sockets
> ppp0: not promisc and no packet sniffer sockets
> Checking `w55808'... not infected
> Checking `wted'... chkwtmp: nothing deleted
> Checking `scalper'... not infected
> Checking `slapper'... not infected
> Checking `z2'... chklastlog: nothing deleted
> ...
> 
> Que faut-il en penser, en déduire ?

Que le système est sain ... du moins au niveau de la présence de
rootkit, ce qui est rassurant.
Visiblement chkrootkit ne trouve aucun rootkit, et se plaint uniquement
de l'installation de java, c'est un binaire isolé, c'est justifiable ...
je me renseignerai à l'occasion. Comme java ne fait pas d'acces disque
(d'après lsof) cela ne concerne pas le problème d'accès disque.

> 
> Avec la commande « sudo rkhunter --checkall », j'ai noté les lignes
> suivantes :
> 
> ...
> [21:44:43]   Checking for hidden files and directories       [ Warning ]
> ...
> All results have been written to the logfile (/var/log/rkhunter.log)
> 
> One or more warnings have been found while checking the system.
> Please check the log file (/var/log/rkhunter.log)
> ...
> 
> Et voici les lignes critiques du fichier « /var/log/rkhunter.log » :
> 
> [21:44:43] Warning: Hidden directory found: /etc/.java
> [21:44:43] Warning: Hidden directory found: /dev/.static
> [21:44:43] Warning: Hidden directory found: /dev/.udev
> [21:44:43] Warning: Hidden directory found: /dev/.initramfs
> [21:44:43] Warning: Hidden file found: /dev/.tmp-2-0: block special (2/0)
> 
> Que faut-il en penser, en déduire ?

Qu'il y a des fichiers caché dans /dev, ce qui est normal pour ceux cités.

> 
> Merci d'avance !
> 
> L'ami René

Voilà donc une nouvelle piste éliminée ... et tant mieux, un problème de
sécurité n'est jamais sympathique à identifier ...

Bonne continuation

Ju
-- 
Human beings are not an endangered species; however, this isn't for a
lack of trying. --Douglas Adams




Plus d'informations sur la liste de diffusion ubuntu-fr