Pages : 1
#1 Le 20/02/2010, à 04:05
- Compte anonymisé
Problème de rootkit ..?
Salut à tous,
Suite à un
sudo rkhunter --checkj' ai entre autre comme résultat :
Performing filesystem checks
Checking /dev for suspicious file types [ Warning ]
Checking for hidden files and directories [ Warning ]
[Press <ENTER> to continue]
Checking application versions...
Checking version of GnuPG [ Warning ]
Checking version of OpenSSL [ Warning ]
System checks summary
=====================
File properties checks...
Files checked: 133
Suspect files: 0
Rootkit checks...
Rootkits checked : 111
Possible rootkits: 0
Applications checks...
Applications checked: 2
Suspect applications: 2
The system checks took: 2 minutes and 30 seconds
All results have been written to the logfile (/var/log/rkhunter.log)
One or more warnings have been found while checking the system.
Please check the log file (/var/log/rkhunter.log)Par contre, si je fais :
sudo chkrootkitJe n' ai que
Searching for anomalies in shell history files... Warning: `//home/e18i3/.kino-history' is linked to another fileAvec
sudo lynis -cJ' ai entre autre également :
[+] Ports and packages
------------------------------------
- Searching package managers...
- Searching RPM package manager... [ FOUND ]
- Querying RPM package manager...
- Searching dpkg package manager... [ FOUND ]
- Querying package manager...
- Checking security repository in sources.list file... [ WARNING ]
- Checking APT package database... [ OK ]
- Checking vulnerable packages... [ OK ]
[ Press [ENTER] to continue, or [CTRL]+C to stop ]
[+] Networking
------------------------------------
- Checking configured nameservers...
- Testing nameservers...
Nameserver: 192.168.0.1... [ OK ]
- Minimal of 2 responsive nameservers... [ WARNING ]
- Checking default gateway... [ DONE ]
- Checking promiscuous interfaces... [ OK ]
- Checking waiting connections... [ OK ]
[+] Software: firewalls
------------------------------------
- Checking iptables kernel module... [ FOUND ]
- Checking for empty ruleset... [ WARNING ]
- Checking for unused rules... [ OK ]
- Checking pf configuration... [ NOT FOUND ]
- Checking host based firewall [ NOT ACTIVE ]
[ Press [ENTER] to continue, or [CTRL]+C to stop ]
[+] Logging and files
------------------------------------
- Checking for a running syslog daemon... [ OK ]
- Checking Syslog-NG status [ NOT FOUND ]
- Checking Syslog-NG consistency [ WARNING ]
- Checking minilogd instances [ NONE ]
- Checking logrotate presence [ OK ]
- Checking log directories (static list) [ DONE ]
lsof: WARNING: can't stat() fuse.gvfs-fuse-daemon file system /home/e18i3/.gvfs
Output information may be incomplete.
- Checking open log files [ DONE ]
lsof: WARNING: can't stat() fuse.gvfs-fuse-daemon file system /home/e18i3/.gvfs
Output information may be incomplete.
- Checking deleted files in use [ FILES FOUND ]
[ Press [ENTER] to continue, or [CTRL]+C to stop ]
[+] Time and Synchronization
------------------------------------
- Checking running ntp daemon... [ NOT FOUND ]
- Checking NTP client in crontab file... [ NOT FOUND ]
- Checking NTP client in cron.d files... [ NOT FOUND ]
- Checking for a running NTP daemon or client... [ WARNING ]
- Checking ntp daemon... [ NOT FOUND ]
[ Press [ENTER] to continue, or [CTRL]+C to stop ]
[+] Hardening
------------------------------------
- Installed compiler(s)... [ FOUND ]
- Installed malware scanner... [ FOUND ]
[ Press [ENTER] to continue, or [CTRL]+C to stop ]
================================================================================
-[ Lynis 1.2.6 Results ]-
Tests performed: 121
Warnings:
----------------------------
- [03:41:07] Warning: Can't find security.debian.org/ubuntu.com in /etc/apt/sources.list. [test:PKGS-7388] [impact:M]
- [03:41:10] Warning: Couldn't find 2 responsive nameservers [test:NETW-2705] [impact:L]
- [03:41:27] Warning: iptables module(s) loaded, but no rules active [test:FIRE-4512] [impact:L]
- [03:41:37] Warning: klogd is not running, which could lead to missing kernel messages in log files [test:LOGG-2138] [impact:L]
- [03:41:50] Warning: No running NTP daemon or available client found [test:TIME-3104] [impact:M]
Suggestions:
----------------------------
- [03:40:08] Suggestion: update to the latest stable release.
- [03:40:31] Suggestion: Install a PAM module for password strength testing like pam_cracklib [test:AUTH-9262]
- [03:40:32] Suggestion: When possible set expire dates for all password protected accounts [test:AUTH-9282]
- [03:41:07] Suggestion: Check /etc/apt/sources.list for a security repository being used [test:PKGS-7388]
- [03:41:10] Suggestion: Check your resolv.conf file and connectivity to your nameservers [test:NETW-2705]
- [03:41:27] Suggestion: Disable iptables kernel module if not used or make sure rules are being used [test:FIRE-4512]
- [03:41:37] Suggestion: Check why klogd is not running [test:LOGG-2138]
- [03:41:49] Suggestion: Enable auditd to collect audit information [test:ACCT-9628]
- [03:41:50] Suggestion: Check if any NTP daemon is running or a NTP client gets executed daily, to prevent big time differences and avoid problems with services like kerberos, authentication or logging differences. [test:TIME-3104]
- [03:42:03] Suggestion: Harden the system by removing unneeded compilers. This can decrease the chance of customized trojans, backdoors and rootkits to be compiled and installed [test:HRDN-7220]
================================================================================
Files:
- Test and debug information : /var/log/lynis.log
- Report data : /var/log/lynis-report.dat
================================================================================
Notice: Lynis update available
Current version : 126 Latest version : 129
================================================================================
Hardening index : [44] [######## ]
================================================================================
Lynis 1.2.6
Copyright 2007-2009 - Michael Boelen, http://www.rootkit.nl/Quelqu' un peut-il éclairer ma lanterne ?
C' est grave Docteur ?
J' ai une p' tite idée sur la question mais un doute persiste ..?
J' ai également télécharger le paquet lynis 129, je l' ai extrait, mais pour l' install,
le problème c' est l' anglais ...
Dernière modification par E18i3 (Le 20/02/2010, à 04:55)
#2 Le 12/05/2010, à 09:46
- Fla
Re : Problème de rootkit ..?
Je me permets un up, car j'ai le même warning avec chkrootkit et j'aimerais savoir d'où cela vient..
Warning: '//home/nomdutilisateur/.kino-history' is linked to another file
Hors ligne
#3 Le 12/05/2010, à 09:49
- Onclebenz
Re : Problème de rootkit ..?
vous etes verolés, il faut formater
Hors ligne
#4 Le 12/05/2010, à 09:55
- Hermes le Messager
Re : Problème de rootkit ..?
C'est rien. kino-history, c'est l'historique du logiciel kino.
De plus, pour les autres avertissements, ca vous dit quoi faire pour blinder un serveur et faire en sorte de colmater toutes les "failles", failles qui ne seront JAMAIS exploitées pour un poste client normal.
Cela a un sens uniquement si vous avez un serveur hébergeant des données ultra-sensibles, genre secret d'état etc...
En gros, vous perdez votre temps. (sauf pour ce qui est d'apprendre certaines choses)
Hors ligne
#5 Le 13/05/2010, à 21:39
- Compte anonymisé
Re : Problème de rootkit ..?
Merci Hermes,
Que les Dieux te protège. @ charge d' r' vanche 
Par contre en ce qui concerne Onclebenz, c' est cuit 
#6 Le 06/02/2012, à 00:25
- kironux
Re : Problème de rootkit ..?
[+] Kernel Hardening
------------------------------------
- Comparing sysctl key pairs with scan profile...
- kernel.core_uses_pid (1) [ DIFFERENT ]
- kernel.ctrl-alt-del (0) [ OK ]
- kernel.sysrq (0) [ DIFFERENT ]
- net.ipv4.conf.all.accept_redirects (0) [ DIFFERENT ]
- net.ipv4.conf.all.accept_source_route (0) [ OK ]
- net.ipv4.conf.all.bootp_relay (0) [ OK ]
- net.ipv4.conf.all.forwarding (0) [ OK ]
- net.ipv4.conf.all.log_martians (1) [ DIFFERENT ]
- net.ipv4.conf.all.mc_forwarding (0) [ OK ]
- net.ipv4.conf.all.proxy_arp (0) [ OK ]
- net.ipv4.conf.all.rp_filter (1) [ OK ]
- net.ipv4.conf.all.send_redirects (0) [ DIFFERENT ]
- net.ipv4.conf.default.accept_redirects (0) [ DIFFERENT ]
- net.ipv4.conf.default.accept_source_route (0) [ DIFFERENT ]
- net.ipv4.conf.default.log_martians (1) [ DIFFERENT ]
- net.ipv4.icmp_echo_ignore_broadcasts (1) [ OK ]
- net.ipv4.icmp_ignore_bogus_error_responses (1) [ OK ]
- net.ipv4.tcp_syncookies (1) [ OK ]
- net.ipv4.tcp_timestamps (0) [ DIFFERENT ]
- net.ipv6.conf.all.accept_redirects (0) [ DIFFERENT ]
- net.ipv6.conf.all.accept_source_route (0) [ OK ]
- net.ipv6.conf.default.accept_redirects (0) [ DIFFERENT ]
- net.ipv6.conf.default.accept_source_route (0) [ OK ]
Avec Lynis, c'est grave docteur ? 
J'ai fait un update avant
Et j'ai ceci comme noyau :
Linux 2.6.32-35-generic #78-Ubuntu SMP i686 GNU/Linux
Je peux faire quelque chose en particulier ? :x
Dernière modification par kironux (Le 06/02/2012, à 00:26)
Hors ligne
#7 Le 15/02/2012, à 12:28
- Hermes le Messager
Re : Problème de rootkit ..?
Avec Lynis, c'est grave docteur ?
J'ai fait un update avant
Et j'ai ceci comme noyau :Linux 2.6.32-35-generic #78-Ubuntu SMP i686 GNU/Linux
Je peux faire quelque chose en particulier ? :x
Non c'est juste normal. Et tu ne comprends visiblement pas comment marche ce logiciel. DIFFERENT signifie simplement que la rêgle adoptée n'est pas la rêgle par défaut ce qui est tout à fait normal dans 99.99% des cas, surtout s'agissant d'une distrib grand public pas faite pour héberger des secrets d'état.
Hors ligne
#8 Le 15/02/2012, à 23:03
- kironux
Re : Problème de rootkit ..?
Ok, merci pour l'information, c'est juste qu'à force d'installer des dépôts à gauche à droite, j'ai eu un peu peur 
Merci pour l'éclaircissement, je vais me pencher un peu plus sur le fonctionnement du programme 
Hors ligne