- Fedora-Fr
- À propos de Fedora-Fr
- Historique
- Statistiques
- Télécharger
- Obtenir Fedora
- Toutes les méthodes de téléchargement
- Support
- Aide sur IRC
- Forums
- Documentation
- Sous-projets
- Plateforme de blog
Fedora-Fr - Communauté francophone Fedora - Linux
Communauté francophone des utilisateurs de la distribution Linux Fedora.
- Contributions : Récentes | Sans réponse
Dernière news : Vous pouvez tester la nouvelle Fedora Linux 38 Beta
#1 27/06/2015 18:30:53
Chkrootkit et Linux/Ebury, ... encore un faux positif ?
Bonjour à toutes et tous,
De temps à autre je réalise quelques tests de sécurité sur mes différentes machines (serveurs et clients) via Rkhunter, Chrootkit et Lynis. Sauf qu'aujourd'hui, j'ai eu un retour anormal sur deux de mes machines utilisateurs tournant sous F22 pour l'une et F21 pour l'autre.
Pour info : j'ai uniquement des machines tournant sous Debian Wheezy, Jessie et F21-F22 sur mon réseau. Seules les dernières ont le problème.
Bien entendu, j'ai l'habitude des faux positifs avec ces outils, mais je sollicite votre avis juste "au cas où" !
Voici ce que me retourne l'analyse de Chkrootkit :
Du coup, j'ai fait une petite recherche rapide et lu qu'on pouvait vérifier l'infection via la commande suivante :
ssh -G2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected"Qui me renvoie :
"System infected"Bien entendu, mes machines sont mises à jour à minima deux à trois fois par semaine, je n'ai jamais installé de dépôts exotiques et je suis le seul utilisateur... bref pas grand chose qui pourrait m’aiguiller ou m'inquiéter outre mesure 
. Si quelqu'un a une piste, je suis preneur !
Sinon, je ne vais pas tergiverser bien longtemps et je vais reformater !
Merci pour votre aide 
Dernière modification par Sangokuss (27/06/2015 18:32:47)
« Seul un esprit éduqué peut comprendre une pensée différente de la sienne sans avoir à l'accepter. » Aristote
Hors ligne
#2 27/06/2015 19:28:51
- Heldwin
- version 329521
- Inscription : 07/10/2008
- Messages : 4 334
Re : Chkrootkit et Linux/Ebury, ... encore un faux positif ?
J'essaye de me renseigner, mais il semblerait que windigo a été patché il y a un bon moment en arrière.
Et que les devs de openssh ont rajouté une option -G correcte.
Cependant, quand je l'utilise, ça me retourne un code de sortie 255, et me met l'usage de ssh...
Dernière modification par Heldwin (27/06/2015 19:29:12)
"The only way to achieve the impossible is to believe it’s possible"
Hors ligne
#3 27/06/2015 19:31:31
Re : Chkrootkit et Linux/Ebury, ... encore un faux positif ?
Information complémentaire : une F22 (machine virtuelle) fraîchement installée renvoie également cette alerte... Ouf, ça sent le faux positif tout ça !
Mais bon, si d'autres peuvent me le confirmer, je suis preneur !
« Seul un esprit éduqué peut comprendre une pensée différente de la sienne sans avoir à l'accepter. » Aristote
Hors ligne
#4 27/06/2015 21:13:59
Re : Chkrootkit et Linux/Ebury, ... encore un faux positif ?
De mon côté, j'ai pris le temps de creuser un peu le sujet et il semblerait (à confirmer) que l'absence de serveur SSH renvoie un faux positif par défaut...
Mais dans mon cas, openssh-server est bien installé...
« Seul un esprit éduqué peut comprendre une pensée différente de la sienne sans avoir à l'accepter. » Aristote
Hors ligne
#5 28/06/2015 08:17:26
Re : Chkrootkit et Linux/Ebury, ... encore un faux positif ?
Effectivement l'option -G existe bien désormais, ça ressemble à un faux positif. La méthode de contrôle n'est peut-être plus adaptée.
Un rapport de bug a été ouvert en ce sens https://bugzilla.redhat.com/show_bug.cgi?id=1234436
Tu peux pousser tes tests plus loin https://www.cert-bund.de/ebury-faq.
Edit : Ajout d'un lien FAQ
Dernière modification par Nicosss (28/06/2015 08:39:04)
F37_64 Gnome-Shell - GA-990FXA-UD3 - Phenom II X6 1100T - NH-D14 - Ati HD 5750 Fanless - 16Go RAM /&/ F37_64 Gnome-Shell - Toshiba Satellite C660D-19X - 8Go RAM
F37_64 - ASRock 960GC-GS FX - AMD FX(tm)-8300 - 16Go RAM
Hors ligne
#6 28/06/2015 10:21:14
Re : Chkrootkit et Linux/Ebury, ... encore un faux positif ?
Merci pour ton lien, je l'ai déjà testé hier et le retour n'était pas très rassurant (mais j'avoue ne pas être sûr de l'interprétation des résultats), et c'est la raison pour laquelle j'ai posté hier soir sur le forum.
Voici le retour de la commande #ipcs -m pour la ligne du root :
Et la commande suivante ne renvoie rien !
# find /lib* -type f -name libkeyutils.so* -exec ls -la {} \;Les autres tests pour les versions <1.3.5 et >1.5 ne donnent rien de concluant. Bref, le doute subsiste. Si seulement une installation fraîche résolvait le problème, nous aurions une piste concrète mais en installant une F22 toute neuve sur Gnome-Boxes, tous les tests sont identiques à ceux que j'ai décris dans ce fil de messages. D'où l'idée d'un énième faux-positif.
Ce qui serait intéressant c'est que nous soyons plusieurs à faire les tests : si nous sommes tous avec ce message de détection (et que les autres tests ne permettent pas de trancher), alors je pencherai "statistiquement" pour un faux-positif ! 
Dernière modification par Sangokuss (28/06/2015 10:28:03)
« Seul un esprit éduqué peut comprendre une pensée différente de la sienne sans avoir à l'accepter. » Aristote
Hors ligne
#7 29/06/2015 06:46:31
Re : Chkrootkit et Linux/Ebury, ... encore un faux positif ?
Bonjour matinal à tous,
Hier soir, j'ai finalement pris le temps de refaire une installation propre de l'un des deux posts (celui tournant sous F22) et je vous confirme que l'erreur est bien présente ! Ouf !!
Il s'agit donc bien d'un faux positif
On le savait déjà tous ici, mais il n'est pas inutile de le redire : Chkrootkit est un produit potentiellement intéressant mais qui renvoie un nombre incalculable de faux positifs. On se porte souvent mieux en ne l'utilisant pas l lol
« Seul un esprit éduqué peut comprendre une pensée différente de la sienne sans avoir à l'accepter. » Aristote
Hors ligne
Fedora-Fr est hébergé gracieusement sur un serveur IKOULA.
Le Projet Fedora est maintenu et dirigé par la communauté et sponsorisé par Red Hat.
Ce site est également maintenu par la communauté. Red Hat n'est pas responsable de son contenu.