Pages : 1
#1 Le 21/12/2007, à 04:33
- pierre18
interpreter un rapport de rkhunter...
bonjour a tous.....par curiosite j ai fait un scan avec rkhunter.....a la fin du scan j ai ouvert le rapport et trouve ceci :
Performing filesystem checks
[03:16:27] Info: Starting test name 'filesystem'
[03:16:27] Info: SCAN_MODE_DEV set to 'THOROUGH'
[03:16:41] Checking /dev for suspicious file types [ None found ]
[03:16:42] Checking for hidden files and directories [ Warning ]
[03:16:42] Warning: Hidden directory found: /etc/.java
[03:16:42] Warning: Hidden directory found: /dev/.static
[03:16:42] Warning: Hidden directory found: /dev/.udev
[03:16:42] Warning: Hidden directory found: /dev/.initramfs
[03:16:42] Warning: Hidden file found: /dev/.tmp-2-0: block special (2/0)
je sais que les rootkits sont tres discrets et se cachent a la perfection....dans Windows on les " trouve" dans des cles de la base de registre qui paraissent " vides" ...embedded null....qu en est il pour linux et ses derives...ubuntu..etc...dans mon cas dois je supprimer les trouvailles de rkhunter....??? c est pas evident..merci aux specialistes du site.
Hors ligne
#2 Le 21/12/2007, à 10:42
- Hoper
Re : interpreter un rapport de rkhunter...
Non, tu ne dois rien supprimer.
Enfin si, rkhunter qui ne te servira jamais à rien sous linux. Et juste pour alimenter ta parano, (et dans ma bouche c'est plus un compliment qu'autre chose hein...) sache qu'a l'heure actuelle les meilleurs rootkits sous linux sont totalement indetectables de facon automatique, quelque soit le programme utilisé. De toute facon, quand on à la preuve d'une intrusion, et quel que soit l'os, il ne faut pas chercher à comprendre, c'est ré-installation.
Mais encore une fois, a partir du moment ou tu ne fais pas n'importe quoi (activer des serveurs ssh ou vnc sans mot de passe ou avec des mots de passe triviaux genre login=mot de passe etc, tu ne crains rien.
Il n'y a vraiment que si tu transforme ton pc en serveur (lamp etc) qu'il faut faire un peu attention aux couches applicatives que tu déploie.
Mes tutos et coups de gueule :
http://hoper.dnsalias.net/atdc/
Mastodon: @hoper@framapiaf.org
Hors ligne
#3 Le 21/12/2007, à 17:28
- pierre18
Re : interpreter un rapport de rkhunter...
bonjour a tous...bonjour Hoper....effectivement comme je suis ,depuis peu , de l autre cote de la barriere..j ai encore mes reflexes de " windosien "....paranoia comprise..:lol:....de toute facon quelque soit le systeme installe...tout tient au comportement de l utilisateur...cest certain...
par contre etant debutant peux tu m expliquer ceci :
Mais encore une fois, a partir du moment ou tu ne fais pas n'importe quoi (activer des serveurs ssh ou vnc sans mot de passe ou avec des mots de passe triviaux genre login=mot de passe etc, tu ne crains rien.
Il n'y a vraiment que si tu transforme ton pc en serveur (lamp etc) qu'il faut faire un peu attention aux couches applicatives que tu déploie.
c est quoi des serveurs ssh ou vnc.....pc en serveur( lamp etc)....question bete...mais c est du chinois pour moi...je ne suis qu un utilisateur lambda....activer des serveurs ssh ou vnc...sont ils actives par defaut ou faut il les parametres pour usage....?pour savoir ce que je fais et eviter de faire des betises...merci d avance.
Hors ligne
#4 Le 21/12/2007, à 17:50
- Hoper
Re : interpreter un rapport de rkhunter...
Re,
Non, tout ce dont je parle n'est pas activé par défaut, et je ne pense pas que tu installé "par hasard et sans t'en apercevoir" un serveur apache/mysql/php ...
Linux + Apache + Mysql + Php = serveur "lamp" 
Le reste non plus n'est pas installé par défaut.
Mes tutos et coups de gueule :
http://hoper.dnsalias.net/atdc/
Mastodon: @hoper@framapiaf.org
Hors ligne
Pages : 1