IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

rapport rkhunter : compromission ?


Sujet :

Sécurité

  1. 01/12/2009, 11h18 #1
    snyouf
    snyouf est déconnecté
    Membre régulier
    Profil pro
    Inscrit en
    Septembre 2006
    Messages
    90
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Septembre 2006
    Messages : 90
    Points : 88
    Points
    88
    Par défaut rapport rkhunter : compromission ?
    Bonjour,

    Avant la mise en production de mon serveur, j'ai installé rkhunter pour détecter les compromissions.
    Ce matin je regarde les logs et voici ce que j'y trouve :

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21
    22
    23
    24
    25
    26
    27
    28
    29
    30
    31
    32
     
[06:25:13] /usr/bin/less                                     [ Warning ]
[06:25:13] Warning: The file properties have changed:
[06:25:13]          File: /usr/bin/less
[06:25:13]          Current file modification time: 1259598673
[06:25:13]          Stored file modification time : 1201000906
[06:25:14] /usr/bin/mlocate                                  [ Warning ]
[06:25:14] Warning: The file properties have changed:
[06:25:14]          File: /usr/bin/mlocate
[06:25:14]          Current file modification time: 1259598673
[06:25:14]          Stored file modification time : 1225189105
[06:25:16] /usr/bin/mawk                                     [ Warning ]
[06:25:16] Warning: The file properties have changed:
[06:25:16]          File: /usr/bin/mawk
[06:25:16]          Current file modification time: 1259598673
[06:25:16]          Stored file modification time : 1207408806
[06:25:17] /usr/bin/bsd-mailx                                [ Warning ]
[06:25:17] Warning: The file properties have changed:
[06:25:17]          File: /usr/bin/bsd-mailx
[06:25:17]          Current file modification time: 1259598674
[06:25:17]          Stored file modification time : 1209196464
[06:25:17] /usr/bin/w.procps                                 [ Warning ]
[06:25:17] Warning: The file properties have changed:
[06:25:17]          File: /usr/bin/w.procps
[06:25:17]          Current file modification time: 1259598673
[06:25:17]          Stored file modification time : 1231710568
[06:25:20] /usr/sbin/unhide                                  [ Warning ]
[06:25:20] Warning: The file '/usr/sbin/unhide' exists on the system, but it is not present in the rkh
unter.dat file.
[06:25:21] /usr/sbin/unhide-linux26                          [ Warning ]
[06:25:21] Warning: The file '/usr/sbin/unhide-linux26' exists on the system, but it is not present in
 the rkhunter.dat file.
    Qu'en pensez vous ?

    Merci

    Snyouf
    Répondre avec citation Répondre avec citation   0  0
  2. 01/12/2009, 16h38 #2
    dahtah
    dahtah est déconnecté
    Membre éclairé
    Profil pro
    Ingénieur sécurité
    Inscrit en
    Février 2007
    Messages
    574
    Détails du profil
    Informations personnelles :
    Âge : 39
    Localisation : Etats-Unis

    Informations professionnelles :
    Activité : Ingénieur sécurité
    Secteur : Industrie

    Informations forums :
    Inscription : Février 2007
    Messages : 574
    Points : 751
    Points
    751
    Par défaut
    Salut,
    Je connaissais pas rkhunter, donc ce que je dis est à prendre avec des pincettes.
    La modification des commandes systèmes (comme il semblerait que ce soit le cas), et notamment less, font penser à un rootkit.
    Quelqu'un de plus calé que moi confirmera peut-être. Mais autant de fichiers modifiés dans /user/bin à une même heure...
    Répondre avec citation Répondre avec citation   0  0
  3. 01/12/2009, 16h47 #3
    dahtah
    dahtah est déconnecté
    Membre éclairé
    Profil pro
    Ingénieur sécurité
    Inscrit en
    Février 2007
    Messages
    574
    Détails du profil
    Informations personnelles :
    Âge : 39
    Localisation : Etats-Unis

    Informations professionnelles :
    Activité : Ingénieur sécurité
    Secteur : Industrie

    Informations forums :
    Inscription : Février 2007
    Messages : 574
    Points : 751
    Points
    751
    Par défaut
    J'y pense, à moins que t'es fait une maj système à ces heures là...
    Répondre avec citation Répondre avec citation   0  0
ActualitésFAQ LINUXTUTORIELS LINUXOUTILS LINUXLIVRES LINUXLINUX TVUNIXGTK+QtAPACHEOPEN SOURCE
« Discussion précédente | Discussion suivante »

Discussions similaires

  1. [éditeur de rapport]section
    Par Stessy dans le forum PowerAMC
    Réponses: 11
    Dernier message: 28/03/2003, 12h36
  2. Page de rapport de bug sur le site de Sun
    Par piff dans le forum Général Java
    Réponses: 1
    Dernier message: 03/03/2003, 18h12
  3. Les possibilité que C++ offre par rapport à Pascal Objet
    Par Riko dans le forum Langages de programmation
    Réponses: 13
    Dernier message: 01/02/2003, 21h38
  4. Print et Preview d'un rapport Rave
    Par joebarthib dans le forum Rave
    Réponses: 4
    Dernier message: 19/12/2002, 14h46
  5. [Choix] Quelles attentes par rapport aux SGBD ?
    Par thierry34 dans le forum Décisions SGBD
    Réponses: 6
    Dernier message: 13/07/2002, 20h08

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo