L'activité de mon disque dur m'inquiète !

Lami René lami at webestrie.com
Jeu 13 Déc 15:05:01 UTC 2007


Avell Diroll a écrit :
> Lami René wrote:
>   
>> Avell Diroll a écrit :
>>
>> ...
>>     
>> Je bonsoir Ju,
>>
>> Voici un aperçu de ce que donne la section "Vérification des rootkits"
>> sur mon système :
>>
>> Avec la commande « sudo chkrootkit », j'ai noté les lignes suivantes :
>>
>> ...
>> Searching for suspicious files and dirs, it may take a while...
>> /usr/lib/j2se/1.4/jre/.systemPrefs
>> /usr/lib/j2se/1.4/jre/.systemPrefs/.system.lock
>> /usr/lib/j2se/1.4/jre/.systemPrefs/.systemRootModFile
>> /usr/lib/firefox/.autoreg
>> /lib/modules/2.6.22-14-generic/volatile/.mounted
>> /usr/lib/j2se/1.4/jre/.systemPrefs
>> ...
>> Searching for OBSD rk v1... /usr/lib/security
>> /usr/lib/security/classpath.security
>> ...
>> Searching for anomalies in shell history files... Warning: `' is linked
>> to another file
>> Checking `asp'... not infected
>> Checking `bindshell'... not infected
>> Checking `lkm'... chkproc: nothing detected
>> Checking `rexedcs'... not found
>> Checking `sniffer'... lo: not promisc and no packet sniffer sockets
>> ppp0: not promisc and no packet sniffer sockets
>> Checking `w55808'... not infected
>> Checking `wted'... chkwtmp: nothing deleted
>> Checking `scalper'... not infected
>> Checking `slapper'... not infected
>> Checking `z2'... chklastlog: nothing deleted
>> ...
>>
>> Que faut-il en penser, en déduire ?
>>     
> Que le système est sain ... du moins au niveau de la présence de
> rootkit, ce qui est rassurant.
> Visiblement chkrootkit ne trouve aucun rootkit, et se plaint uniquement
> de l'installation de java, c'est un binaire isolé, c'est justifiable ...
> je me renseignerai à l'occasion. Comme java ne fait pas d'acces disque
> (d'après lsof) cela ne concerne pas le problème d'accès disque
>> Avec la commande « sudo rkhunter --checkall », j'ai noté les lignes
>> suivantes :
>>
>> ...
>> [21:44:43]   Checking for hidden files and directories       [ Warning ]
>> ...
>> All results have been written to the logfile (/var/log/rkhunter.log)
>>
>> One or more warnings have been found while checking the system.
>> Please check the log file (/var/log/rkhunter.log)
>> ...
>>
>> Et voici les lignes critiques du fichier « /var/log/rkhunter.log » :
>>
>> [21:44:43] Warning: Hidden directory found: /etc/.java
>> [21:44:43] Warning: Hidden directory found: /dev/.static
>> [21:44:43] Warning: Hidden directory found: /dev/.udev
>> [21:44:43] Warning: Hidden directory found: /dev/.initramfs
>> [21:44:43] Warning: Hidden file found: /dev/.tmp-2-0: block special (2/0)
>>
>> Que faut-il en penser, en déduire ?
>>     
> Qu'il y a des fichiers caché dans /dev, ce qui est normal pour ceux cités
>> Merci d'avance !
>>
>> L'ami René
>>     
> Voilà donc une nouvelle piste éliminée ... et tant mieux, un problème de
> sécurité n'est jamais sympathique à identifier ...
>
> Bonne continuation
>
> Ju
>   

Rebonjour Ju,

Ce matin j'ai eu une drôle d'activité CPU et disque en plaine charge
pendent quelques minutes alors sans tardé j'ai refait les deux
commandes. Pour « sudo rkhunter --checkall », rien a signaler, mais pour
« sudo rkhunter --checkall » voici les deux nouveaux « Warning » :

...
[08:43:55] /usr/bin/find                                     [ Warning ]
[08:43:55] Warning: The file properties have changed:
[08:43:55]          File: /usr/bin/find
[08:43:55]          Current inode: 82865    Stored inode: 82227
[08:43:56]          Current file modification time: 1197465595
[08:43:56]          Stored file modification time : 1191436615
...
[08:44:00] /usr/bin/locate                                   [ Warning ]
[08:44:00] Warning: The file properties have changed:
[08:44:00]          File: /usr/bin/locate
[08:44:00]          Current inode: 82987    Stored inode: 82240
[08:44:01]          Current file modification time: 1197465595
[08:44:01]          Stored file modification time : 1191436615
...

Pour le premier, si cela concerne l'utilisation de la recherche de
fichier dans Konqueror, cela est donc normal, j'en ai fait hier.

Pour le « /usr/bin/locate », je ne sais quoi en pensé ! Les propriétés
ont changé, mais à quoi cela correspond, je n'en ai aucune idée ! De
puis le premier scan, il y à eu deux mises à jour avec adept, est-ce en
lien ?

Encore et toujours, un grand merci pour votre aide !

L'ami René





Plus d'informations sur la liste de diffusion ubuntu-fr