Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

Pages : 1

#1 Le 29/03/2006, à 12:08

licodan

Besoin d'infos sur résultat scan avec clamav et chkrootkit.

Bonjour,
j'aimerais avoir un avis sur le scan de mon disque dur avec clamav puis chkrootkit :

- Le scan avec clamlav :

----------- SCAN SUMMARY -----------
Known viruses: 48213
Engine version: 0.87.1
Scanned directories: 10667
Scanned files: 80485
Infected files: 38
Data scanned: 5618.39 MB
Time: 1785.881 sec (29 m 45)

En regardant les fichiers considerés comme infécté je remarque qu'il s'agit de fichiers avec un accés refusé, par exemple : //sys/devices/platform/i8042/serio1/drvctl: Access denied
Est-ce qu'il s'agit de "fausses alertes" ou bien est-ce le signe d'une réelle infection?

- Le scan avec chkrootkit :

la encore une ligne en majuscule se distingue,
Checking `sniffer'... lo: not promisc and no packet sniffer sockets
eth0: PACKET SNIFFER(/sbin/dhclient3[9324]).
Cela signifie qu'un sniffer est présent sur ma machine?

Hors ligne

#2 Le 29/03/2006, à 12:19

cep_

Re : Besoin d'infos sur résultat scan avec clamav et chkrootkit.

/sys/devices/platform/i8042/serio1/drvctl

--w-------  1 root root 4096 2006-03-29 12:13 /sys/devices/platform/i8042/serio1/drvctl

et pour le dhclient son rôle devrait être normal par définition si tu as un dhcp.

Pour les 38 infected regarde en détail.

#3 Le 29/03/2006, à 13:27

licodan

Re : Besoin d'infos sur résultat scan avec clamav et chkrootkit.

Salut cep_

J'aurais du préciser que je suis novice sous linux.. je ne comprends pas ta réponse.
Tu me suggère de modifier les droits sur le fichier en question (//sys/devices/platform/i8042/serio1/drvctl)?
J'ai pris ce fichier comme exemple car je ne peut remonter plus haut dans la console pour voir les résultats du début du scan.
Pour dhcp je suis perdu, apparement cela concerne les postes en réseau, je crois que je ne l'utilise pas puisque je n'ai qu'un seul poste relié directement à internet.

Je viens de refaire un scan complet avec clamav, mais cette fois avec les droits du root (sudo clamscan -r /), en espérant contourner le "access denied".
J'ai toujours 38 fichiers considérés comme infecté, mais cette fois parce qu'il ne peut pas les ouvrir, exemple :
ERROR: Can't open file //sys/devices/platform/i8042/serio0/drvctl
Faut-il s'en inquiéter?

Et pour le résultat du scan avec chkrootkit :
eth0: PACKET SNIFFER(/sbin/dhclient3[9324])
Cela signifie que j'ai un sniffer?

Dernière modification par licodan (Le 29/03/2006, à 13:31)

Hors ligne

Pages : 1