jip_fedora
Bonjour,
[Débutant avec rkhunter]
En partant d'un exemple précis, ma question se veut plus générale: un programme peut-il changer de taille ?
rkhunter me signale que wget a été modifié.
Je fais donc:
ls /usr/bin/wget
et j'obtiens:
-rwxr-xr-x 1 root root 425616 5 mars 15:26 /usr/bin/wget
puis je réinstalle wget par:
sudo yum reinstall wget
suivi d'un nouveau:
ls /usr/bin/wget
qui me donne:
-rwxr-xr-x 1 root root 414544 5 mars 15:26 /usr/bin/wget
rkhunter est maintenant "satisfait" (plus de "Warning").
Cependant au bout d'un certain temps, wget reprend la taille de 425616 mais en conservant la même date et heure !
Je ne comprends pas comment et pourquoi wget change de taille.
merci de vos explications,
madko
Bonjour,
afin d'accelerer le chargement des programmes, ils sont modifiés afin d'integrer directement certaines informations (adresses de bilbiotheques partagées etc). Cette fonctionnalité s'appelle "prelink".
Donc si rkhunter ne sait pas gérer ça et se base uniquement sur la somme md5 d'un binaire, il va te dire qu'il a été modifié. Ce qui est vrai en soit, mais tout à fait normal sur Fedora.
rpm -qV wget par ex pour vérifier les fichiers du RPM s'ils ont été modifiés ou pas (de manière malveillante). C'est ça que rkhunter devrait utiliser.
