L'activité de mon disque dur m'inquiète !
Lami René
lami at webestrie.com
Jeu 13 Déc 15:05:01 UTC 2007
Avell Diroll a écrit :
> Lami René wrote:
>
>> Avell Diroll a écrit :
>>
>> ...
>>
>> Je bonsoir Ju,
>>
>> Voici un aperçu de ce que donne la section "Vérification des rootkits"
>> sur mon système :
>>
>> Avec la commande « sudo chkrootkit », j'ai noté les lignes suivantes :
>>
>> ...
>> Searching for suspicious files and dirs, it may take a while...
>> /usr/lib/j2se/1.4/jre/.systemPrefs
>> /usr/lib/j2se/1.4/jre/.systemPrefs/.system.lock
>> /usr/lib/j2se/1.4/jre/.systemPrefs/.systemRootModFile
>> /usr/lib/firefox/.autoreg
>> /lib/modules/2.6.22-14-generic/volatile/.mounted
>> /usr/lib/j2se/1.4/jre/.systemPrefs
>> ...
>> Searching for OBSD rk v1... /usr/lib/security
>> /usr/lib/security/classpath.security
>> ...
>> Searching for anomalies in shell history files... Warning: `' is linked
>> to another file
>> Checking `asp'... not infected
>> Checking `bindshell'... not infected
>> Checking `lkm'... chkproc: nothing detected
>> Checking `rexedcs'... not found
>> Checking `sniffer'... lo: not promisc and no packet sniffer sockets
>> ppp0: not promisc and no packet sniffer sockets
>> Checking `w55808'... not infected
>> Checking `wted'... chkwtmp: nothing deleted
>> Checking `scalper'... not infected
>> Checking `slapper'... not infected
>> Checking `z2'... chklastlog: nothing deleted
>> ...
>>
>> Que faut-il en penser, en déduire ?
>>
> Que le système est sain ... du moins au niveau de la présence de
> rootkit, ce qui est rassurant.
> Visiblement chkrootkit ne trouve aucun rootkit, et se plaint uniquement
> de l'installation de java, c'est un binaire isolé, c'est justifiable ...
> je me renseignerai à l'occasion. Comme java ne fait pas d'acces disque
> (d'après lsof) cela ne concerne pas le problème d'accès disque
>> Avec la commande « sudo rkhunter --checkall », j'ai noté les lignes
>> suivantes :
>>
>> ...
>> [21:44:43] Checking for hidden files and directories [ Warning ]
>> ...
>> All results have been written to the logfile (/var/log/rkhunter.log)
>>
>> One or more warnings have been found while checking the system.
>> Please check the log file (/var/log/rkhunter.log)
>> ...
>>
>> Et voici les lignes critiques du fichier « /var/log/rkhunter.log » :
>>
>> [21:44:43] Warning: Hidden directory found: /etc/.java
>> [21:44:43] Warning: Hidden directory found: /dev/.static
>> [21:44:43] Warning: Hidden directory found: /dev/.udev
>> [21:44:43] Warning: Hidden directory found: /dev/.initramfs
>> [21:44:43] Warning: Hidden file found: /dev/.tmp-2-0: block special (2/0)
>>
>> Que faut-il en penser, en déduire ?
>>
> Qu'il y a des fichiers caché dans /dev, ce qui est normal pour ceux cités
>> Merci d'avance !
>>
>> L'ami René
>>
> Voilà donc une nouvelle piste éliminée ... et tant mieux, un problème de
> sécurité n'est jamais sympathique à identifier ...
>
> Bonne continuation
>
> Ju
>
Rebonjour Ju,
Ce matin j'ai eu une drôle d'activité CPU et disque en plaine charge
pendent quelques minutes alors sans tardé j'ai refait les deux
commandes. Pour « sudo rkhunter --checkall », rien a signaler, mais pour
« sudo rkhunter --checkall » voici les deux nouveaux « Warning » :
...
[08:43:55] /usr/bin/find [ Warning ]
[08:43:55] Warning: The file properties have changed:
[08:43:55] File: /usr/bin/find
[08:43:55] Current inode: 82865 Stored inode: 82227
[08:43:56] Current file modification time: 1197465595
[08:43:56] Stored file modification time : 1191436615
...
[08:44:00] /usr/bin/locate [ Warning ]
[08:44:00] Warning: The file properties have changed:
[08:44:00] File: /usr/bin/locate
[08:44:00] Current inode: 82987 Stored inode: 82240
[08:44:01] Current file modification time: 1197465595
[08:44:01] Stored file modification time : 1191436615
...
Pour le premier, si cela concerne l'utilisation de la recherche de
fichier dans Konqueror, cela est donc normal, j'en ai fait hier.
Pour le « /usr/bin/locate », je ne sais quoi en pensé ! Les propriétés
ont changé, mais à quoi cela correspond, je n'en ai aucune idée ! De
puis le premier scan, il y à eu deux mises à jour avec adept, est-ce en
lien ?
Encore et toujours, un grand merci pour votre aide !
L'ami René
Plus d'informations sur la liste de diffusion ubuntu-fr