comprendre les fichiers log

2 replies [Last post]
obscurité
Offline
Joined: 04/24/2014

Bonjour,
je voudrais que quelqu'un m'explique que faire des log pour traquer les fichiers suspects: j'ai rkhunter et j'ai le message suivant (que j'ai écourté un peu):

/usr/bin/wget [ Warning ]
[08:49:21] Warning: The file properties have changed:
[08:49:22] File: /usr/bin/wget
[08:49:22] Current hash: 0f2d2f119f771ac833aff53882b72c67115c0b85
[08:49:22] Stored hash : abafa317b464e5317fd2624d72a27f543ae67608
[08:49:22] Current inode: 578 Stored inode: 1441
[08:49:22] Current size: 373944 Stored size: 369848
[08:49:22] Current file modification time: 1403546140 (23-Jun-2014 19:55:40)
[08:49:22] Stored file modification time : 1328936635 (11-Feb-2012 06:03:55)

[ OK ]
[08:49:01] /usr/bin/dpkg [ Warning ]
[08:49:01] Warning: The file properties have changed:
[08:49:01] File: /usr/bin/dpkg
[08:49:01] Current inode: 9345 Stored inode: 508
[08:49:01] Current file modification time: 1402430499 (10-Jun-2014 22:01:39)
[08:49:01] Stored file modification time : 1381853972 (15-Oct-2013 18:19:32)
[08:49:01] /usr/bin/dpkg-query [ Warning ]
[08:49:01] Warning: The file properties have changed:
[08:49:01] File: /usr/bin/dpkg-query

/usr/bin/logger [ Warning ]
[08:49:08] Warning: The file properties have changed:
[08:49:08] File: /usr/bin/logger
[08:49:08] Current hash: c668dbaa93d497679015922dcfb30340df100fb3
[08:49:08] Stored hash : fbeba6b5b8aaf739796d1bd5d522edfdb60bce72
[08:49:08] Current inode: 51 Stored inode: 895
[08:49:08] Current file modification time: 1403054475 (18-Jun-2014 03:21:15)
[08:49:09] Stored file modification time : 1333085658 (30-Mar-2012 07:34:18)
/bin/dmesg [ Warning ]
[08:49:45] Warning: The file properties have changed:
[08:49:45] File: /bin/dmesg
[08:49:45] Current hash: 6d691cc8212d299e53b5a3a63e06823ddd66a33a
[08:49:45] Stored hash : 4f86d208f53dcc5f22c92d9591c9aa9dae60f8d8
[08:49:45] Current inode: 551672 Stored inode: 523303
[08:49:45] Current file modification time: 1403054475 (18-Jun-2014 03:21:15)
System checks summary
=====================

File properties checks...
Required commands check failed
Files checked: 132
Suspect files: 21

Rootkit checks...
Rootkits checked : 240
Possible rootkits: 0

Applications checks...
All checks skipped

Magic Banana

I am a member!

Online
Joined: 07/24/2010

'rkhunter' calcule une somme de contrôle sur chaque fichier exécutable commun et la compare avec la dernière somme qu'il a calculée. Si la somme a changé, il écrit un avertissement dans les logs. Il se peut en effet qu'un attaquant soit parvenu à exploiter une faille de sécurité pour écrire sur la partition racine et qu'il y ait remplacé des commandes communes. Ainsi, lorsque tu les exécutes, tu exécutes aussi le code malicieux.

Ceci étant, il est bien plus probable que les différences que tu observes soient dues à des mises à jour (de sécurité !) de ces commandes depuis ton dernier lancement de 'rkhunter' (il y a plus de six mois, non ?).

'rkhunter' cherche aussi 240 rootkits connus (à comparer avec les centaines de milliers de virus Windows !). Il n'en a trouvé aucun.

obscurité
Offline
Joined: 04/24/2014

merci.