Installer un anti-rootkit [on va dire résolu]

[Insam]

Voilà, tout est dans le titre, mais y'en a plusieurs et aucun ne me paraît simple (pas à installer, mais à utiliser)
Je ne sais d'eux que ce que j'ai lu sur leur installation, sur le forum ubuntu, mais je n'ai pas trouvé d'utilisateur pour en savoir plus.
Alors d'abord quelqu'un de chez nous a-t-il goûté à ces trucs ?
Si oui, merci du retour
Si non... Ben zut alors ! Pas envie de tous les tester alors que je n'y pige que schtroumpf !

[dagonh]

Ben zut

Ben zen, plutôt, ça carburera mieux.

Désolé, jamais utilisé d'anti-rootkit… savais même pas que ça existait, d'ailleurs !

[Insam]

Ben zut

Ben zen, plutôt, ça carburera mieux.

Désolé, jamais utilisé d'anti-rootkit… savais même pas que ça existait, d'ailleurs !

Moi je savais...pour XP (grâce à mémé)
Mais avec ce qui vient de m'arriver avec Flexnet, je vais m'y intéresser de près !

[Robinwood]

Bonjour,
je viens de tester rkhunter, installation depuis les dépots, mise à jour et scan.
https://doc.ubuntu-fr.org/rkhunter ou https://doc.ubuntu-fr.org/rootkit

Code : Tout sélectionner

sudo apt-get install rkhunter

Code : Tout sélectionner

sudo rkhunter --update

Mise à jour du programme

Code : Tout sélectionner

sudo rkhunter --checkall --report-warnings-only

RootKit Hunter (la commande ci-dessous n'affiche que les avertissements)

Pour moi le retour est:

Code : Tout sélectionner

sudo rkhunter --checkall --report-warnings-only
Warning: Suspicious file types found in /dev:
         /dev/.udev/rules.d/root.rules: ASCII text
Warning: Hidden directory found: /etc/.java: directory 
Warning: Hidden directory found: /dev/.udev: directory 
Warning: Hidden file found: /dev/.initramfs: symbolic link to `/run/initramfs'

Si vous croisez un traducteur.

[dagonh]

Eh bien, il te donne une alerte pour chaque répertoire caché qu'il trouve, mais là ce sont tous des répertoires cachés normaux du système. De fausses alertes, quoi !

[Insam]

Merci de ton expérience Robinwood , j'ai fait la même et je l'ai désinstallé parce que je ne m'y connais pas assez pour savoir ce qu'il faut croire ou non, et il est spécifié sur le forum ubuntu, que ce soft est très (trop) efficace mais qu'il retourne beaucoup de faux positifs (je me demande donc où est la réelle efficacité si il nous encourage à faire des erreurs)

[Robinwood]

Merci Dagonh, comme Insam je n'y comprenais rien, me voila rassuré.

[Insam]

Alors j'ai vu dans wikipedia que le truc qu'on vient d'essayer était à base de "Unhide"
Unhide est dispo dans synaptic, unhide.rb est spécifique rootkit, je l'ai installé et lancé :
Voilà le résultat :

Ce qui est rassurant, on est sûr qu'il n'y a pas de faux positifs, y'a plus qu'à espérer qu'il détecte vraiment les vrais positifs ! Mais bon, il est noté 5 étoiles dans sourceforge.net...Alors pourquoi pas.
L' énorme avantage pour moi, c'est que plus simple que ça tu meurs !

[zeb]

je viens de tester rkhunter, installation depuis les dépots

une question bête pour Robinwood, pourquoi une installation via le terminal alors que dans le gestionnaire il est présent
C'est quand même plus simple, non

[Robinwood]

Bonjour Zebulon,
j'ai même installé rkhunter par synaptic, pour voir s'il s'installe seul, c'est le cas.
Contrairement à unhide.rb qui vient avec 4 autres paquets, principalement ruby.
Je préfère utiliser synaptic, car via historique on voit ce qui c'est installé et parfois en supprimant le logiciel on garde des paquets qui lui correspondent, je ne sais pourquoi.