Contenu | Rechercher | Menus

Annonce

L'équipe des administrateurs et modérateurs du forum vous souhaite d'excellentes fêtes de fin d'année !

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 05/01/2019, à 16:44

trainbleu

Fichier log de cron et/ou anacron pour chkrootkit

Bonjour,

Je suis nouveau sous linux et je viens juste d'installer Ubuntu 18.10.

Après avoir installé chkrootkit j'aimerais créer un cron pour ce dernier en écrivant dans le fichier crontab (que j'ouvre en faisant dans le terminal crontab -e) la ligne suivante :

0 1 * * * /usr/sbin/chkrootkit 2>&1 >chkrootkit_log

Seulement, je n'arrive pas à savoir si mon cron est lancé ni à trouver le fichier chkrootkit_log généré.

Le fichier crontab ouvert via la commande crontab -e se trouve exactement dans quel répertoire?

Comment pourais également créé en parallèle un anacron?

D'avance merci pour votre aide.

Hors ligne

#2 Le 06/01/2019, à 09:26

bruno

Re : Fichier log de cron et/ou anacron pour chkrootkit

Bonjour,

chkrootkit est très probablement inutile sur ta machine. C'est un outil d'analyse post-mortem réservé au spécialistes. Ce n'est pas un anti-virus et les anti-virus sont totalement inutiles sous GNU/linux.

Si tu y tiens vraiment la tâche cron est déjà installée par le paquet chkrootkit dans /etc/cron.daily pour être exécutée quotidiennement. La configuration se fait dans /etc/chkrootkit.conf

Les tâches cron créées par la commande crontab -e se trouvent dans /var/spool/cron/crontabs/utilisateur

Hors ligne

#3 Le 06/01/2019, à 14:19

trainbleu

Re : Fichier log de cron et/ou anacron pour chkrootkit

Bonjour,

Je pense que j'en ai besoin pour des raisons d'avantages de sécurité car j'ai antérieurement subis une série d'attaque m'ayant causée des pertes de données donc je préfère utiliser tous les moyens que je trouve.

J'ai découvert chkrootkit dans un magasine linux du mois dernier mais la procédure d'installation du cron n'y est malheureusement pas détaillée.

Hors ligne

#4 Le 16/01/2019, à 12:29

Pending...

Re : Fichier log de cron et/ou anacron pour chkrootkit

Effectivement, chkrootkit, rkhunter, unhide ou unhide.rb, par exemple, sont des programmes limités pour détecter des infections, mais pas inutiles, car il faut au concepteur d'un malware bosser sur comment les rendre aveugles sans que cela soit détecté (si l'on modifie rkhunter par exemple, ce dernier détecte son changement de signature et celle-ci est même protégé par le programme lui-même).

Ceci étant dit, ça limite évidemment les infections possibles. Par exemple, rkhunter va détecter les fichiers obligatoirement installés pour qu'un malware puisse se cacher (pour les hooks librairies ou les LKM), et les unhide vont comparer différentes sources pour détecter des anomalies entre ces sources et faire ressortir des processus cachés. Chkrootkit me parait le moins utile des 4. Donc, un outil mal conçu ne passera pas leur barrière, mais ça ne dira rien de ceux qui sont conçus pour les rendre aveugles. Je peux citer pour l'exemple Azazel, Jynx2 ou encore Vlany (le vice étant que pour les installer, il faut être root, mais on n'est pas à l'abri d'une faille qui permette d'en installer sans).

Maintenant, pour les rendre aveugles, il faut être root, donc si c'est le cas, on prend l'OS et on réinstalle tout (en faisant une copie pour une analyse forensique éventuellement, ce qui est mieux si l'on veut éviter que ça se reproduise).

Sur un poste de bureau, c'est très improbable, sur un serveur, ça dépend de sa maintenance. Juste une parenthèse concernant un poste de bureau : si quelqu'un a accès au poste, et qu'il est possible de booter sur une clé USB, l'infection est parfaitement possible.

Pour revenir à ta question, tu parles bien de ton crontab root ? Chkrootkit ne pouvant être lancé qu'en root.

Dernière modification par Pending... (Le 16/01/2019, à 12:34)


Ubuntu / Mint / Windows 10 - Projet : Diablotine 2.0

Hors ligne

#5 Le 16/01/2019, à 13:10

bruno

Re : Fichier log de cron et/ou anacron pour chkrootkit

Encore un fois ce ne sont pas des outils de détection mais des outils d'analyse a posteriori pour une machine compromise. Cela ne sert strictement à rien sur une machine de bureau à part donner soit un faux sentiment de sécurité, soit des inquiètudes outrancières. Après chacun fait comme il veut

Pour la tâche cron, je pense avoir répondu de manière assez claire. Mais trainbleu n'a apparemment pas encore regardé les deux fichiers que j’indiquais…

Hors ligne

#6 Le 18/01/2019, à 16:49

trainbleu

Re : Fichier log de cron et/ou anacron pour chkrootkit

bruno a écrit :

Pour la tâche cron, je pense avoir répondu de manière assez claire. Mais trainbleu n'a apparemment pas encore regardé les deux fichiers que j’indiquais…

Bonjour, en fait je suis actuellement entrain de reprendre mon apprentissage Linux depuis le début à partir d'un magasine Linux du mois dernier : je reviendrais dans les jours à venir sur ce topic.

Hors ligne

#7 Le 18/01/2019, à 16:53

trainbleu

Re : Fichier log de cron et/ou anacron pour chkrootkit

Pending... a écrit :

Effectivement, chkrootkit, rkhunter, unhide ou unhide.rb, par exemple, sont des programmes limités pour détecter des infections, mais pas inutiles, car il faut au concepteur d'un malware bosser sur comment les rendre aveugles sans que cela soit détecté (si l'on modifie rkhunter par exemple, ce dernier détecte son changement de signature et celle-ci est même protégé par le programme lui-même).

Ceci étant dit, ça limite évidemment les infections possibles. Par exemple, rkhunter va détecter les fichiers obligatoirement installés pour qu'un malware puisse se cacher (pour les hooks librairies ou les LKM), et les unhide vont comparer différentes sources pour détecter des anomalies entre ces sources et faire ressortir des processus cachés. Chkrootkit me parait le moins utile des 4. Donc, un outil mal conçu ne passera pas leur barrière, mais ça ne dira rien de ceux qui sont conçus pour les rendre aveugles. Je peux citer pour l'exemple Azazel, Jynx2 ou encore Vlany (le vice étant que pour les installer, il faut être root, mais on n'est pas à l'abri d'une faille qui permette d'en installer sans).

Maintenant, pour les rendre aveugles, il faut être root, donc si c'est le cas, on prend l'OS et on réinstalle tout (en faisant une copie pour une analyse forensique éventuellement, ce qui est mieux si l'on veut éviter que ça se reproduise).

Sur un poste de bureau, c'est très improbable, sur un serveur, ça dépend de sa maintenance. Juste une parenthèse concernant un poste de bureau : si quelqu'un a accès au poste, et qu'il est possible de booter sur une clé USB, l'infection est parfaitement possible.

Pour revenir à ta question, tu parles bien de ton crontab root ? Chkrootkit ne pouvant être lancé qu'en root.

Bonjour Pending, merci pour les indications : je reviendrais sur le sujet avec quelques questions dans les jours à venir (aprncore un fois ce ne sont pas des outils de détection mais des outils d'analyse a posteriori pour une machine compromise. Cela ne sert strictement à rien sur une machine de bureau à part donner soit un faux sentiment de sécurité, soit des inquiètudes outrancières. Après chacun fait comme il veutès avoir un minimum avancé dans mon apprentissage Linux).

Hors ligne