Forum Linux.debian/ubuntu Pb rootkit hunter

Posté par  .
Étiquettes : aucune
0
19
fév.
2007
Bonjour,
avec rkhunter j'ai obtenu ça:

Line:
-e [ Warning! ]
----------------------------------------------------------------

[07:41:14] WARNING, found /dev/.static (directory) /dev/.udev (directory) /dev/.initramfs (directory) /etc/.java (directory)

----------------------------------------------------------------

If you're unsure about the result above, please contact the author of Rootkit Hunter. Fill in contact form: http://www.rootkit.nl/contact/
Some errors has been found while chicking. Please perform a manual check on this machine ********


que dois-je faire? j'ai été rootkité ou c'est une erreur? comment savoir??

Merci d'avance
  • # répertoires normaux

    Posté par  . Évalué à 1.

    Pour .static et .udev, ce sont des repertoires normaux de "udev" (.static sert par exemple à acceder au /dev/ statique quand udev monte son ramdisk par dessus).
    .initramfs je connais pas, mais apparemment ça sert quand on passe par un init dans une ramdisk avant de monter le reste du système.
    Et .java, ben je l'ai aussi sur ma machine...

    Faudrait que l'auteur de rkhunter se mette un peu à jour, il me semble que tout ça est standard depuis quelques temps deja.
  • # Non

    Posté par  (site web personnel) . Évalué à 1.

    Commence par vérifier le contenu de ces répertoires. Je pense que ce ne sont que des faux positifs. rkhunter a simplement trouvé des dossiers cachés dans des emplacements peu habituels.

    Donc avant de tirer l'alarme, fais une vérification manuelle, et note les faux positifs dans un coin, car tu les retrouveras à chaque rkhunter! :)
  • # --update

    Posté par  . Évalué à 1.

    Peux-etre rkhunter --update avant de lancer la commande histoire que rkhunter se mette à jour ;-)

    +++
    • [^] # Re: --update

      Posté par  . Évalué à 1.

      Merci pour votre aide, j'ai bien mis à jour avant d'effectuer le scan, et je suis certain que c'est une fausse alerte, mais bon comme j'ai lu sur un autre forum ça ne garantie rien, c'est pas un programme qui détecte la présence d'un dossier qui comporte le nom "DossierTrucMuche" que l'on est contaminer, ce genre de logiciel ne regarde pas les signatures des rootkits... éspéront qu'ils en serons capable ... un jour!!!

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.