[résolu]rkHunter

[AT]

Bonjour,



Comment voir les processus qui tournent sous Mandriva 2009 ?
J'ai installé et lancé rkHunter : Il y a suspicious files : Skipped A quoi cela correspond - il ?


Merci

[mélodie]

Bonjour,

Bienvenu. Pourrais-tu rendre ton sujet conforme aux us et coutumes du forum, s'il te plaît ?

Pourquoi cherches-tu à voir les processus de ta Mandriva, crois-tu qu'il y aie des trojans dans ta forteresse ?

Edit : je l'installe dans mon système, pour voir comment faire fonctionner ça. Je te montres:

[root@squirrel melodie]# pacman -S rkhunter
Résolution des dépendances...
Recherche des conflits possibles entre paquets...

Cibles (1): rkhunter-1.3.2-1

Taille totale des paquets (téléchargement): 0,00 Mo
Taille totale des paquets (installation): 0,72 Mo

Procéder à l'installation? [O/n]
Analyse de l'intégrité des paquets...
(1/1) Analyse des conflits entre fichiers [###################################################################] 100%
(1/1) Installation rkhunter [###################################################################] 100%
>>> You might want to create a (daily) cronjob with the following content:
#!/bin/sh
(
/usr/bin/rkhunter --update --nocolor
/usr/bin/rkhunter --cronjob --report-warnings-only
) | /usr/bin/mail -s 'rkhunter Daily Run' root
>>>
[root@squirrel melodie]#

Ensuite, je ne vais pas créer ce script shell parce que je ne compte pas conserver ce paquet, je vais juste lancer les commandes les unes après les autres:

# /usr/bin/rkhunter --update --nocolor
[ Rootkit Hunter version 1.3.2 ]

Checking rkhunter data files...
Checking file mirrors.dat [ No update ]
Checking file programs_bad.dat [ No update ]
Checking file backdoorports.dat [ No update ]
Checking file suspscan.dat [ No update ]
Checking file i18n/cn [ Updated ]
Checking file i18n/en [ No update ]
Checking file i18n/zh [ No update ]
Checking file i18n/zh.utf8 [ No update ]
#

# /usr/bin/rkhunter --cronjob --report-warnings-only
Warning: Checking for prerequisites [ Warning ]
The file of stored file properties (rkhunter.dat) does not exist, and so must be created. To do this type in 'rkhunter --propupd'.
Warning: WARNING! It is the users responsibility to ensure that when the '--propupd' option
is used, all the files on their system are known to be genuine, and installed from a
reliable source. The rkhunter '--check' option will compare the current file properties
against previously stored values, and report if any values differ. However, rkhunter
cannot determine what has caused the change, that is for the user to do.
Warning: The command '/usr/bin/ldd' has been replaced by a script: /usr/bin/ldd: Bourne-Again shell script text executable
Warning: The command '/usr/bin/whatis' has been replaced by a script: /usr/bin/whatis: POSIX shell script text executable
Warning: The command '/usr/sbin/adduser' has been replaced by a script: /usr/sbin/adduser: Bourne-Again shell script text executable
Warning: The command '/usr/bin/whatis' has been replaced by a script: /usr/bin/whatis: POSIX shell script text executable
Warning: The command '/usr/sbin/adduser' has been replaced by a script: /usr/sbin/adduser: Bourne-Again shell script text executable
Warning: The SSH configuration option 'PermitRootLogin' has not been set.
The default value may be 'yes', to allow root access.
Warning: The SSH configuration option 'Protocol' has not been set.
The default value may be '2,1', to allow the use of protocol version 1.

One or more warnings have been found while checking the system.
Please check the log file (/var/log/rkhunter.log)

Pour la dernière commande chez moi c'est inutile:

$ ls -l /usr/bin/mail
ls: ne peut accéder /usr/bin/mail: Aucun fichier ou dossier de ce type

Je te fais grâce du log dont il est question à la fin du dernier message, mais je te met la fin du log, là où il y a le résumé:

[19:50:37] System checks summary
[19:50:37] =====================
[19:50:37]
[19:50:37] File properties checks...
[19:50:37] Required commands check failed
[19:50:37] Files checked: 110
[19:50:37] Suspect files: 3
[19:50:37]
[19:50:37] Rootkit checks...
[19:50:37] Rootkits checked : 109
[19:50:37] Possible rootkits: 0
[19:50:37]
[19:50:37] Applications checks...
[19:50:37] Applications checked: 4
[19:50:37] Suspect applications: 0
[19:50:37]
[19:50:37] The system checks took: 1 minute and 14 seconds
[19:50:37]
[19:50:37] Info: End date is sam. févr. 14 19:50:37 CET 2009

Entre nous, c'est la première fois que tu es sous Linux ? C'est pour un usage personnel ou professionnel ?

[AT]

oui cela fait 1 an que j'utilise Linux mais depuis peu je m'y met sérieusement .
Beaucoups d'habitude de windo avec sa forteresse de logiciels de protection ( Antivirus, antispyware, sandbox, parefeu, SpywareBlaster, antirootkit)!

Merci pour la démo des commandes

[mélodie]

avec sa forteresse de logiciels de protection ( Antivirus, antispyware, sandbox, parefeu, SpywareBlaster, antirootkit)!

Oui oui, je sais, c'est pour ça que j'ai FUI sous Linux quand j'ai débuté. (Je ne suis pas très douée, alors ça m'avait pris plusieurs semaines pour y arriver, en postant sur des forums, mais je me suis décidée plutôt vite par contre : un mois après avoir acheté ma machine ! )

Merci pour la démo des commandes

De rien, saches que si tu veux être assez bien protégé sous GNU/Linux, le premier maillon faible est l'utilisateur. (choix du mot de passe, ne jamais lancer en root des commandes qui peuvent l'être en mode utilisateur, ne jamais au grand jamais se loguer en root sur l'interface graphique, se méfier des logiciels provenant de tierces parties : hors distribution, et certains logiciels non libres fonctionnant sous Linux) et que pour un usage professionnel, là où il faut accentuer la sécurité, il existe des versions sécurisées de certaines distributions.

Pour ma part je suis surtout les principes énumérés entre parenthèses : un mot de passe de au moins 8 caractères composés de lettres minuscules et majuscules, chiffres et caractères spéciaux.

[AT]

J'ai lancer rkhunter a partir de la : [root@squirrel AT]# rkhunter -c

[root@squirrel melodie]# /usr/bin/rkhunter --cronjob --report-warnings-only

Ici tu ne scan que le rep bin ? C'est ça

Perrsonnelement je ne maitrise les lignes de commandes sous Linux.
Encore moins l'installation de logiciel de cette façon, je n'utilise que le CCM de Mandriva

[mélodie]

J'ai lancer rkhunter a partir de la : [root@squirrel AT]# rkhunter -c

[root@squirrel melodie]# /usr/bin/rkhunter --cronjob --report-warnings-only

Ici tu ne scan que le rep bin ? C'est ça

Perrsonnelement je ne maitrise les lignes de commandes sous Linux.
Encore moins l'installation de logiciel de cette façon, je n'utilise que le CCM de Mandriva

Bonsoir,

Toutes les distributions ne disposent pas d'un centre de contrôle où d'une quelconque interface graphique pour gérer les paquets, par contre, toutes les distributions que je connais permettent d'installer des paquets en ligne de commande.

Ce qui était utile dans la sortie de mon gestionnaire de paquet est que le fichier de post installation qui a été prévu avec rkhunter fournissait un message disant quoi faire avec le logiciel une fois celui-ci installé. (Quelles commandes utiliser pour s'en servir tout de suite).

la ligne de commande : "/usr/bin/rkhunter" lancée en root revient exactement au même que la commande "rkhunter"lancée en root. Là j'ai lancé tout car du moment que j'avais le message dans la console, avec les options, il me suffisait de faire un copié-collé (surligner, mettre le curseur de la souris là où je veux copier la ligne, puis cliquer avec la molette : hop, c'est copié ! Enfin, on ne peut pas le faire avec tous les émulateurs de console, mais je pense qu'avec konsole, ce que tu as sous Mandriva/KDE, on peut le faire)

l'option --cronjob, je ne sais pas pourquoi, mais j'ai essayé sans cette option et ça ne produisait rien (si tu veux savoir quoi, lances "man rkhunter" dans ta console et cherches cette option pour voir ce que ça dit). --report-warnings-only, c'est assez explicite : ça dit de n'afficher que les avertissements.

Donc non, je n'ai pas scanné que le répertoire /usr/bin, mais tout le système.

Au final ma conclusion est toujours la même : pour les besoins des particuliers, nul besoin de ces scans, et pour les professionnels ça me semble aussi assez superflu, si par ailleurs les accès sont protégés correctement.

Si tu as envie malgré tout de t'informer plus avant, tu pourrais aller voir le site et le forum de Ixus.
http://www.ixus.fr/

Have fun !

[AT]

Ok merci mélodie pour ces renseignements