J'ai un résultat de Rootcheck alarmant

MaryPopy · Le 14/09/2010, à 16:06

Hoper a écrit :

Oui merveilleux, j'ai bien compris, un logiciel formidable qui sécurise tout à ta place... Le seul gros problème, c'est que ce n'est pas TOI qui lui à dit ce qu'il devait surveiller

Et bien si c'est moi. C'est fonfigurable facilement. Et j'explique ici :http://forum.ubuntu-fr.org/viewtopic.php?id=404799&p=1
Il met par défaut mais tout les point de la conf tu entres toi. Ce que tu surveille en temps réel, ce qui ne sera pas vérifier, quel démon tu veux etc etc. 100% paramétrable.

Dernière modification par MaryPopy (Le 14/09/2010, à 16:08)

Hoper · Le 14/09/2010, à 16:12

Et bien si c'est moi. C'est fonfigurable facilement. Et j'explique ici :http://forum.ubuntu-fr.org/viewtopic.ph … 99&p=1

Ce n'est pas parce que tu lui dit de surveiller un fichier que tu comprend ce qu'il fait derrière ! La preuve en est, la création de ce topic ! Ou tu ne comprend pas toi même la réponse du logiciel. Quand je t'explique que c'est a toi de faire des scripts, à toi d'expliquer à l'ordinateur ce qu'il doit surveiller, je ne parle pas d'écrire une liste de fichier ! Je te parle de lui indiquer précisément ce qu'il doit trouver, ou ne pas trouver à l'intérieur. Ce que j'essaye de t'expliquer depuis tout à l'heure, c'est que c'est presque a chaque administrateur d'écrire SON logiciel de détection ou de supervision. Alors ok, tu n'est pas obligé de partir de zéro. Tu peux utiliser des moteurs et écrire tes propres procédures, tes propres plugins... mais c'est à toi de lui dire ce qu'il doit surveiller, et COMMENT il doit le surveiller.

MaryPopy · Le 14/09/2010, à 16:14

D'ici 3 mois je le saurais ça.
Pour le moment je sauve pour moi en privé. Je vais devoir apprendre pour le professionnel. Alors j y serais forcé d y arriver. Puis j'ai tous les bouquins à la maison pour apprendre. J te dit je commence à bosser à 50% pour apprendre. Reproche moi pas de ne pas savoir avant d'avoir appris.

Puis au sujet d'OSSEC tu peu lui dire ce qu'il doit trouver ou ne pas trouver. La source est libre et le site explique comment faire. Donc tout le monde peu l'adapter. Les info sont expliquées sur le site.
Tu peu enlever et ajouter des signatures etc. Tu trouves tout les répertoires de conf dans le logiciel.
Pour le moment le srapport d'intégrité quand il y a une annomalie, c'est pas dure à comprendre. Le rapport du rootchek m'a parru louche et j'avais besoin d'instruction.

A+

Dernière modification par MaryPopy (Le 14/09/2010, à 16:21)

Hoper · Le 14/09/2010, à 16:19

D'ici 3 mois je le saurais ça.

Je te le souhaite... Mais même dans le milieu professionnel, c'est pas tous les jours qu'on voit un admin faire un bête test de restauration. (Tout le monde est d'accord, c'est indispensable... mais personne le fait... enfin jusqu'au jour ou il y a un vrai crash et ou tu t'aperçoit qu'un tout petit souci de paramétrage faisait que les sous répertoire par exemple étaient pas sauvegardés et ou donc les bandes sont vides ou autre truc bien fun dans le genre... La l'admin se prend une bonne grosse gueulante et après il les fait ces tests de resto .

Bonne chance dans tes études...

PS : vraiment, un dd sur un disque monté et en cours d'utilisation... Tu as vraiment cru que ca pouvait marcher ?

Hoper · Le 14/09/2010, à 16:23

Puis au sujet d'OSSEC tu peu lui dire ce qu'il doit trouver ou ne pas trouver.

Je ne doute pas que cela puisse devenir un outil intéressant. Simplement sa configuration par défaut est visiblement à hurler de rire, et 99,99% des utilisateurs ne modifieront pas une seule ligne de configuration. Il vont le lancer, et comme toi essayer d'interpréter les résultats.
Voila pourquoi j'aime pas beaucoup ce genre de soft.

Je me rappel d'une fois ou un truc dans le genre avait soit disant trouvé un spyware dans la commande awk. Ni une ni deux, l'utilisateur avait alors fait un rm de cette commande. Je te raconte pas l'état de l'os après. C'est pas dur, plus rien ne fonctionnait... vraiment, absolument rien. Je crois que même le ls avait des soucis. Alors certes, ca permet de nous détendre un coup, mais c'est jamais agréable pour la personne qui à tout casser alors qu'elle croyait bien faire.

Voila pourquoi je conseil de comprendre d'abord, et d'utiliser des outils ensuite. Il n'y a par exemple besoin d'aucun outil pour aller vérifier le contenu de son fichier hosts et pour savoir ce que l'on doit, ou pas, trouver dedans.

MaryPopy · Le 14/09/2010, à 16:24

Tu veux une anecdote.
Une entreprise près de chez moi à perdu 20 ans de backup. L'employer traversait les voie de chemin de fer avec les dd trop près des voies dans un sac. Tout les dd sont tous détérioré.

C'est la théorie de la boite informatiqe pres de chez moi. Moi je pense que l employé a pas fait son job.

MaryPopy · Le 14/09/2010, à 16:28

Hoper a écrit :

Il n'y a par exemple besoin d'aucun outil pour aller vérifier le contenu de son fichier hosts.

Tout a fait d'accord. Mais faut avoir le temps. Etre alerté du truc est pratique. Au moins je peu me reneiger sur e qui à été changé et par quoi et qui. Et si je ne connais pas les éléments de l'alèrtes sa me fait une occasion d'apprendre

A+

Dernière modification par MaryPopy (Le 14/09/2010, à 16:36)

wido · Le 14/09/2010, à 18:38

Hoper a écrit :

Il y a une raison pour laquelle tu as mis tous ces sites dans ton fichier /etc/hosts !?

c'est ni plus ni moins que le hosts de http://kosvocore.free.fr/ ou celui là: http://rlwpx.free.fr/WPFF/

Dernière modification par wido (Le 14/09/2010, à 18:38)

Hoper · Le 14/09/2010, à 19:01

okay... tu es sur de bien comprendre ce qu'il fait ce fichier ?
Parce que si vraiment les serveurs des éditeurs d'antivirus sont dedans, c'est super grave...

wido · Le 15/09/2010, à 05:35

mdr , le message du programme indique uniquement

[...]
^[^#]*mcafee.com' (Anti-virus site on the hosts file).
^[^#]*microsoft.com' (Anti-virus site on the hosts file).
^[^#]*f-secure.com' (Anti-virus site on the hosts file).
^[^#]*kaspersky' (Anti-virus site on the hosts file).
^[^#]*clamav.net' (Anti-virus site on the hosts file).
[...]

mais il ne regarde pas intégralement le lien du site. en prenant un exemple sur clamav.net dans le host, j'obtiens:

$ cat /etc/hosts | grep clamav.net
127.0.0.1 ads.chrbanner.com ads.christianity.com ads.christianstart.net ads.chumcity.com ads.cimedia.com ads.citeglobe.com ads.cjonline.com ads.clamav.net ads.clanservers.com

$ cat /etc/hosts | grep kaspersky
127.0.0.1 counter.impressur.com counter.inetusa.com counter.internet.ge counter.inti.fr counter.jasmin.hu counter.kaspersky.com counter.kmindex.ru counter.letssingit.com counter.lgg.ru
127.0.0.1 ehg-jellyfish.hitbox.com ehg-jobster.hitbox.com ehg-jockey.hitbox.com ehg-kasperskylab.hitbox.com ehg-kingstontechnology.hitbox.com ehg-knightridder.hitbox.com ehg-kodak.hitbox.com ehg-ladbrokes.hitbox.com ehg-leapfrog.hitbox.com
127.0.0.1 karmandala.com kartaweb.it karweitjes.santele.be kasongskertub.com kasonkertub.com kasp.x10hosting.com kasperskiy-antivir.com kaspersky.122.2o7.net kaspersky.ee
127.0.0.1 kaspersky-com.info kasperthreatpostprod.112.2o7.net kassa.geenstijl.nl kassperskylabs.cn kastaweb.it kataaweb.it katadweb.it kataeb.it kataeeb.it

il retire uniquement les pub et les sites douteux et pas le site officiel. (voila voila)

Hoper · Le 15/09/2010, à 08:37

Oui enfin il retire pas les pubs, il fait bosser ta machine pour rien, et je te raconte pas l'erreur-log que tu aurai si apache était installé... Vraiment c'est gravement n'importe quoi cette méthode. Installer un truc du genre adblock est infiniment plus propre.

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#26 Le 14/09/2010, à 16:06

Re : J'ai un résultat de Rootcheck alarmant

#27 Le 14/09/2010, à 16:12

Re : J'ai un résultat de Rootcheck alarmant

#28 Le 14/09/2010, à 16:14

Re : J'ai un résultat de Rootcheck alarmant

#29 Le 14/09/2010, à 16:19

Re : J'ai un résultat de Rootcheck alarmant

#30 Le 14/09/2010, à 16:23

Re : J'ai un résultat de Rootcheck alarmant

#31 Le 14/09/2010, à 16:24

Re : J'ai un résultat de Rootcheck alarmant

#32 Le 14/09/2010, à 16:28

Re : J'ai un résultat de Rootcheck alarmant

#33 Le 14/09/2010, à 18:38

Re : J'ai un résultat de Rootcheck alarmant

#34 Le 14/09/2010, à 19:01

Re : J'ai un résultat de Rootcheck alarmant

#35 Le 15/09/2010, à 05:35

Re : J'ai un résultat de Rootcheck alarmant

#36 Le 15/09/2010, à 08:37

Re : J'ai un résultat de Rootcheck alarmant

Pied de page des forums