[Securité] chkrootkit

[meradoou]

Bonjour,
En analysant mon systeme avec chkrootkit , j'ai obtenu le resultat suivant:

Code : Tout sélectionner

Searching for T.R.K... nothing found
Searching for Mithra... nothing found
Searching for LOC rootkit... nothing found
Searching for Romanian rootkit... nothing found
Searching for Suckit rootkit... Warning: /sbin/init INFECTED

En lisant sur wikipedia, j'ai trouvé ceci:

A contrario, SucKIT, publié dans l'article 0x07 du Phrack no 5827, est un rootkit noyau ne nécessitant pas de LKM28 (il passe par le périphérique /dev/kmem).
Les rootkits noyau sont dangereux à la fois parce qu'ils ont acquis des privilèges élevés (il est alors plus facile de leurrer tout logiciel de protection), mais aussi par les instabilités qu'ils peuvent causer sur le système infecté comme cela a été le cas lors de la correction de la vulnérabilité MS10-01529, où des écrans bleus sont apparus en raison d'un conflit entre le fonctionnement du rootkit Alureon et la correction de cette vulnérabilité30.

Comment corriger ce problème?

Merci

[oktoberfest]

Salut,

Comment corriger ce problème?

A priori en corrigeant chkrootkit...

Plus d'information ici http://askubuntu.com/questions/25176/ch ... -that-mean (Premier résultat sorti par google en lui demandant 'chkrootkit /sbin/init infected', faites un peu l'effort de chercher....)
et ici : https://bugs.launchpad.net/ubuntu/+sour ... bug/454566

[meradoou]

pourquoi le mettre dans le dépot si ce n'est que pour fournir des faux resultat

[oktoberfest]

Ne serait-ce pas ce qu'on appelle un bug.... On ne va pas virer un paquet parce qu'une fonctionnalité ne marche pas comme prévu.

[meradoou]

Et ce soit disant bug, il doit etre remonté au niveau de qui?

[vlamy]

Et ce soit disant bug, il doit etre remonté au niveau de qui?

Des développeurs de chrootkit je dirais.

Dés qu'ils auront publié un patch, je suis sûr que le mainteneur du paquet Archlinux le mettra rapidement à jour
Enfin, pas de quoi ouvrir un rapport de bug sur Archlinux je pense.

EDIT : après relecture des liens, les rapports de bug datent un peu quand même (presque deux ans).
Est-ce que ton chrootkit est bien à jour?

[oktoberfest]

Au niveau du développeur de chkrootkit, mais l'adresse upstream fourni dans le package Arch (http://www.chkrootkit.org) n'a pas l'air bien en forme... Sinon voir côté Archlinux si jamais le mainteneur veut intégrer un patch (ceci m'étonnerait beaucoup) ; sur le premier lien fourni, la personne indique un patch en modifiant une ligne du script /usr/sbin/chkrootkit (les lignes 985-986 sur la version 0.49-3).

EDIT : grillé par vlamy

[meradoou]

Et ce soit disant bug, il doit etre remonté au niveau de qui?

Des développeurs de chrootkit je dirais.

Dés qu'ils auront publié un patch, je suis sûr que le mainteneur du paquet Archlinux le mettra rapidement à jour
Enfin, pas de quoi ouvrir un rapport de bug sur Archlinux je pense.

EDIT : après relecture des liens, les rapports de bug datent un peu quand même (presque deux ans).
Est-ce que ton chrootkit est bien à jour?

Oui c'est bien mis à jour.

Il y a aussi le meme problème chez fedora (http://forums.fedora-fr.org/viewtopic.php?id=55483) mais je n'ai pas vraiement compris ce qu'ils se disent à la fin.

[benjarobin]

Il dit que c'est un faux positif

[vlamy]

Le problème des faux positifs, c'est que ça peut donner l'illusion de la sécurité.
En fait, il est impossible de savoir si c'est bien un faux positif sans connaître la version de chrootkit utilisée.

D'où l'utilité de comparer la version du logiciel, ou à défaut d'appliquer le patch (cf. message d'oktoberfest).

Personnellement, si je devais installer un rootkit pour être discret, j'utiliserai SuckIt je pense
Donc je te conseille d'appliquer le patch quand même

[meradoou]

OK merci