L'activité de mon disque dur m'inquiète !

Avell Diroll avelldiroll at yahoo.fr
Jeu 13 Déc 17:22:30 UTC 2007 

Lami René wrote:
> Avell Diroll a écrit :
>> Lami René wrote:
>>   
>>> Avell Diroll a écrit :
>>>
>>> ...
>>>     
>>> Je bonsoir Ju,
>>>
>>> Voici un aperçu de ce que donne la section "Vérification des rootkits"
>>> sur mon système :
>>>
>>> Avec la commande « sudo chkrootkit », j'ai noté les lignes suivantes :
>>>
>>> ...
>>> Searching for suspicious files and dirs, it may take a while...
>>> /usr/lib/j2se/1.4/jre/.systemPrefs
>>> /usr/lib/j2se/1.4/jre/.systemPrefs/.system.lock
>>> /usr/lib/j2se/1.4/jre/.systemPrefs/.systemRootModFile
>>> /usr/lib/firefox/.autoreg
>>> /lib/modules/2.6.22-14-generic/volatile/.mounted
>>> /usr/lib/j2se/1.4/jre/.systemPrefs
>>> ...
>>> Searching for OBSD rk v1... /usr/lib/security
>>> /usr/lib/security/classpath.security
>>> ...
>>> Searching for anomalies in shell history files... Warning: `' is linked
>>> to another file
>>> Checking `asp'... not infected
>>> Checking `bindshell'... not infected
>>> Checking `lkm'... chkproc: nothing detected
>>> Checking `rexedcs'... not found
>>> Checking `sniffer'... lo: not promisc and no packet sniffer sockets
>>> ppp0: not promisc and no packet sniffer sockets
>>> Checking `w55808'... not infected
>>> Checking `wted'... chkwtmp: nothing deleted
>>> Checking `scalper'... not infected
>>> Checking `slapper'... not infected
>>> Checking `z2'... chklastlog: nothing deleted
>>> ...
>>>
>>> Que faut-il en penser, en déduire ?
>>>     
>> Que le système est sain ... du moins au niveau de la présence de
>> rootkit, ce qui est rassurant.
>> Visiblement chkrootkit ne trouve aucun rootkit, et se plaint uniquement
>> de l'installation de java, c'est un binaire isolé, c'est justifiable ...
>> je me renseignerai à l'occasion. Comme java ne fait pas d'acces disque
>> (d'après lsof) cela ne concerne pas le problème d'accès disque
>>> Avec la commande « sudo rkhunter --checkall », j'ai noté les lignes
>>> suivantes :
>>>
>>> ...
>>> [21:44:43]   Checking for hidden files and directories       [ Warning ]
>>> ...
>>> All results have been written to the logfile (/var/log/rkhunter.log)
>>>
>>> One or more warnings have been found while checking the system.
>>> Please check the log file (/var/log/rkhunter.log)
>>> ...
>>>
>>> Et voici les lignes critiques du fichier « /var/log/rkhunter.log » :
>>>
>>> [21:44:43] Warning: Hidden directory found: /etc/.java
>>> [21:44:43] Warning: Hidden directory found: /dev/.static
>>> [21:44:43] Warning: Hidden directory found: /dev/.udev
>>> [21:44:43] Warning: Hidden directory found: /dev/.initramfs
>>> [21:44:43] Warning: Hidden file found: /dev/.tmp-2-0: block special (2/0)
>>>
>>> Que faut-il en penser, en déduire ?
>>>     
>> Qu'il y a des fichiers caché dans /dev, ce qui est normal pour ceux cités
>>> Merci d'avance !
>>>
>>> L'ami René
>>>     
>> Voilà donc une nouvelle piste éliminée ... et tant mieux, un problème de
>> sécurité n'est jamais sympathique à identifier ...
>>
>> Bonne continuation
>>
>> Ju
>>   
> 
> Rebonjour Ju,
> 
> Ce matin j'ai eu une drôle d'activité CPU et disque en plaine charge
> pendent quelques minutes alors sans tardé j'ai refait les deux
> commandes. Pour « sudo rkhunter --checkall », rien a signaler, mais pour
> « sudo rkhunter --checkall » voici les deux nouveaux « Warning » :
> 
> ...
> [08:43:55] /usr/bin/find                                     [ Warning ]
> [08:43:55] Warning: The file properties have changed:
> [08:43:55]          File: /usr/bin/find
> [08:43:55]          Current inode: 82865    Stored inode: 82227
> [08:43:56]          Current file modification time: 1197465595
> [08:43:56]          Stored file modification time : 1191436615
> ...
> [08:44:00] /usr/bin/locate                                   [ Warning ]
> [08:44:00] Warning: The file properties have changed:
> [08:44:00]          File: /usr/bin/locate
> [08:44:00]          Current inode: 82987    Stored inode: 82240
> [08:44:01]          Current file modification time: 1197465595
> [08:44:01]          Stored file modification time : 1191436615
> ...
> 
> Pour le premier, si cela concerne l'utilisation de la recherche de
> fichier dans Konqueror, cela est donc normal, j'en ai fait hier.
> 
> Pour le « /usr/bin/locate », je ne sais quoi en pensé ! Les propriétés
> ont changé, mais à quoi cela correspond, je n'en ai aucune idée ! De
> puis le premier scan, il y à eu deux mises à jour avec adept, est-ce en
> lien ?
> 
> Encore et toujours, un grand merci pour votre aide !
> 

Ces logs indiquent que les fichiers exécutables find et locate ont été
modifiés depuis le dernier scan (tout du moins leur inode), ce qui est
le cas si ils ont été mis à jour (ils font tous les deux parti du paquet
findutils).
On peut verifier l'historique des mises à jours dans le fichier
/var/log/dpkg.log


... en espérant avoir été clair

Ju
-- 
A computer once beat me at chess, but it was no match for me at kick boxing.

Plus d'informations sur la liste de diffusion ubuntu-fr