Scan Chkrootkit positif ?

Jennifer Lobèze · Message par **Jennifer Lobèze** » ven. 12 mai 2023 18:17

Bonjour les mentholés,

J'ai lancé un scan de l'ordi avec chkrootkit qui m'a trouvé des "suspicious files and directories"

Code : Tout sélectionner

/usr/lib/jvm/.java-1.11.0-openjdk-amd64.jinfo
/usr/lib/ruby/vendor_ruby/rubygems/ssl_certs/.document
/usr/lib/ruby/vendor_ruby/rubygems/optparse/.document
/usr/lib/ruby/vendor_ruby/rubygems/tsort/.document
/usr/lib/ruby/gems/3.0.0/gems/rbs-1.0.4/.rubocop.yml
/usr/lib/ruby/gems/3.0.0/gems/power_assert-1.2.0/.travis.yml
/usr/lib/ruby/gems/3.0.0/gems/minitest-5.14.2/.autotest
/usr/lib/debug/.build-id
/usr/lib/python3/dist-packages/tldextract/.tld_set_snapshot
/usr/lib/modules/5.15.0-70-generic/vdso/.build-id
/usr/lib/modules/5.15.0-71-generic/vdso/.build-id
/usr/lib/libreoffice/share/.registry

Le scan a aussi trouvé ça :

Code : Tout sélectionner

Checking `sniffer'...                                       Output from ifpromisc:
lo: not promisc and no packet sniffer sockets
enp3s0: PACKET SNIFFER(/usr/sbin/NetworkManager[1037], /usr/sbin/NetworkManager[1037])

Avec

Ma question basique est : faut-il s'en inquiéter

et si oui... comment y remédier

En vous remerkiant

Jennifer Lobèze · Message par **Jennifer Lobèze** » ven. 12 mai 2023 18:19

Il manque le début des lignes de code

Code : Tout sélectionner

Searching for suspicious files and dirs, it may take a while... The following suspicious files and directories were found:
/usr/lib/jvm/.java-1.11.0-openjdk-amd64.jinfo
/usr/lib/ruby/vendor_ruby/rubygems/ssl_certs/.document
/usr/lib/ruby/vendor_ruby/rubygems/optparse/.document
/usr/lib/ruby/vendor_ruby/rubygems/tsort/.document
/usr/lib/ruby/gems/3.0.0/gems/rbs-1.0.4/.rubocop.yml
/usr/lib/ruby/gems/3.0.0/gems/power_assert-1.2.0/.travis.yml
/usr/lib/ruby/gems/3.0.0/gems/minitest-5.14.2/.autotest
/usr/lib/debug/.build-id
/usr/lib/python3/dist-packages/tldextract/.tld_set_snapshot
/usr/lib/modules/5.15.0-70-generic/vdso/.build-id
/usr/lib/modules/5.15.0-71-generic/vdso/.build-id
/usr/lib/libreoffice/share/.registry

Message par **cyrille** » ven. 12 mai 2023 19:27

Yep

Ce sont sans doute des "faux positifs" : ce ne sont pas des fichiers executables, donc je ne inquiéterai pas de de trop

J'ai plus ou moins le même sur ma SID

WARNING: The following suspicious files and directories were found:
/usr/lib/ruby/gems/3.1.0/gems/typeprof-0.21.2/vscode/.gitignore
/usr/lib/ruby/gems/3.1.0/gems/typeprof-0.21.2/vscode/.vscodeignore
/usr/lib/ruby/gems/3.1.0/gems/typeprof-0.21.2/vscode/.vscode
/usr/lib/ruby/vendor_ruby/rubygems/optparse/.document
/usr/lib/ruby/vendor_ruby/rubygems/tsort/.document
/usr/lib/ruby/vendor_ruby/rubygems/ssl_certs/.document
/usr/lib/libreoffice/share/.registry
/usr/lib/python3/dist-packages/matplotlib/tests/baseline_images/.keep
/usr/lib/python3/dist-packages/matplotlib/tests/tinypages/_static/.gitignore
/usr/lib/python3/dist-packages/matplotlib/tests/tinypages/.gitignore
/usr/lib/python3/dist-packages/matplotlib/backends/web_backend/.prettierrc
/usr/lib/python3/dist-packages/matplotlib/backends/web_backend/.eslintrc.js
/usr/lib/python3/dist-packages/matplotlib/backends/web_backend/.prettierignore
/usr/lib/python3/dist-packages/numpy/core/include/numpy/.doxyfile
/usr/lib/python3/dist-packages/numpy/f2py/tests/src/assumed_shape/.f2py_f2cmap
/usr/lib/python3/dist-packages/numpy/f2py/tests/src/f2cmap/.f2py_f2cmap
/usr/lib/jvm/.java-1.17.0-openjdk-amd64.jinfo
/usr/lib/jvm/.java-1.11.0-openjdk-amd64.jinfo

Pour la dernière sortie qui touche le réseau, idem. Sinon essaye une analyse avec rkhunter
dhclient utilise des sockets que chkrootkit peut considérer comme du sniffing.

Jennifer Lobèze · Message par **Jennifer Lobèze** » ven. 12 mai 2023 20:09

J'ai fait aussin un scan avec rkhunter et il m'a aussi trouvé des trucs

Code : Tout sélectionner

System checks summary
=====================

File properties checks...
    Required commands check failed
    Files checked: 148
    Suspect files: 28

Rootkit checks...
    Rootkits checked : 478
    Possible rootkits: 5

Applications checks...
    All checks skipped

The system checks took: 1 minute and 57 seconds

All results have been written to the log file: /var/log/rkhunter.log

One or more warnings have been found while checking the system.
Please check the log file (/var/log/rkhunter.log)

En plus, comme un gros nul, j'ai oublié comment on ouvrait le log. Bref, chuis pas plus renseigné

Message par **cyrille** » ven. 12 mai 2023 20:16

Code : Tout sélectionner

cat /var/log/rkhunter.log

pour voir les logs

T'inquiète ce doit être des faux positifs sauf si tu as installé n'importe quoi

Message par **cyrille** » ven. 12 mai 2023 20:17

Jennifer Lobèze · Message par **Jennifer Lobèze** » ven. 12 mai 2023 20:29

Oki, d'accord avec toi car non, Môssieur, je n'installe pas n'importe quoi

Message par **cyrille** » ven. 12 mai 2023 23:16

Forum-Francophone-LinuxMint.fr

Scan Chkrootkit positif ?

Scan Chkrootkit positif ?

Re: Scan Chkrootkit positif ?

Re: Scan Chkrootkit positif ?

Re: Scan Chkrootkit positif ?

Re: Scan Chkrootkit positif ?

Re: Scan Chkrootkit positif ?

Re: Scan Chkrootkit positif ?

Re: Scan Chkrootkit positif ?