rapport rkhunter : compromission ?

snyouf · 01/12/2009, 11h18

Bonjour,

Avant la mise en production de mon serveur, j'ai installé rkhunter pour détecter les compromissions.
Ce matin je regarde les logs et voici ce que j'y trouve :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
 
[06:25:13] /usr/bin/less                                     [ Warning ]
[06:25:13] Warning: The file properties have changed:
[06:25:13]          File: /usr/bin/less
[06:25:13]          Current file modification time: 1259598673
[06:25:13]          Stored file modification time : 1201000906
[06:25:14] /usr/bin/mlocate                                  [ Warning ]
[06:25:14] Warning: The file properties have changed:
[06:25:14]          File: /usr/bin/mlocate
[06:25:14]          Current file modification time: 1259598673
[06:25:14]          Stored file modification time : 1225189105
[06:25:16] /usr/bin/mawk                                     [ Warning ]
[06:25:16] Warning: The file properties have changed:
[06:25:16]          File: /usr/bin/mawk
[06:25:16]          Current file modification time: 1259598673
[06:25:16]          Stored file modification time : 1207408806
[06:25:17] /usr/bin/bsd-mailx                                [ Warning ]
[06:25:17] Warning: The file properties have changed:
[06:25:17]          File: /usr/bin/bsd-mailx
[06:25:17]          Current file modification time: 1259598674
[06:25:17]          Stored file modification time : 1209196464
[06:25:17] /usr/bin/w.procps                                 [ Warning ]
[06:25:17] Warning: The file properties have changed:
[06:25:17]          File: /usr/bin/w.procps
[06:25:17]          Current file modification time: 1259598673
[06:25:17]          Stored file modification time : 1231710568
[06:25:20] /usr/sbin/unhide                                  [ Warning ]
[06:25:20] Warning: The file '/usr/sbin/unhide' exists on the system, but it is not present in the rkh
unter.dat file.
[06:25:21] /usr/sbin/unhide-linux26                          [ Warning ]
[06:25:21] Warning: The file '/usr/sbin/unhide-linux26' exists on the system, but it is not present in
 the rkhunter.dat file.

Qu'en pensez vous ?

Merci

Snyouf

dahtah · 01/12/2009, 16h38

Salut,
Je connaissais pas rkhunter, donc ce que je dis est à prendre avec des pincettes.
La modification des commandes systèmes (comme il semblerait que ce soit le cas), et notamment less, font penser à un rootkit.
Quelqu'un de plus calé que moi confirmera peut-être. Mais autant de fichiers modifiés dans /user/bin à une même heure...

dahtah · 01/12/2009, 16h47

J'y pense, à moins que t'es fait une maj système à ces heures là...

01/12/2009, 16h38	#2
dahtah Membre éprouvé Ingénieur sécurité Inscription : février 2007 Messages : 433 Détails du profil Informations personnelles : Âge : 27 Localisation : Australie Informations professionnelles : Activité : Ingénieur sécurité Secteur : Industrie Informations forums : Inscription : février 2007 Messages : 433 Points : 414 Points : 414	Salut, Je connaissais pas rkhunter, donc ce que je dis est à prendre avec des pincettes. La modification des commandes systèmes (comme il semblerait que ce soit le cas), et notamment less, font penser à un rootkit. Quelqu'un de plus calé que moi confirmera peut-être. Mais autant de fichiers modifiés dans /user/bin à une même heure...
	00

01/12/2009, 16h47	#3
dahtah Membre éprouvé Ingénieur sécurité Inscription : février 2007 Messages : 433 Détails du profil Informations personnelles : Âge : 27 Localisation : Australie Informations professionnelles : Activité : Ingénieur sécurité Secteur : Industrie Informations forums : Inscription : février 2007 Messages : 433 Points : 414 Points : 414	J'y pense, à moins que t'es fait une maj système à ces heures là...
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email