nmap 192.168.0.1 -p 1-65535

Chkrootkit n'aime pas .ramfs ou .mdadm

Le fichier .ramfs se situe dans le répertoire /lib/init/rw/, c'est le genre de fichier qui peut-être utiliser par les rootkits. chkrootkit cri au loup quand il analyse ce fichier, ceci est dû à un bug.

On cherche la ligne 734 (pour la version 0.48) ou 700 (pour les versions antérieures), ça se situe au niveau de :

“Searching for suspicious files and dirs, it may take a while… ”;

On remplace la ligne :

files=`${find} ${DIR} -name ".A-Za-z*" -o -name "...*" -o -name ".. *"`

Par la ligne suivante :

 files=`${find} ${DIR} \( -name ".A-Za-z*" -o -name "...*" -o -name ".. *" \) -and -not -wholename /lib/init/rw/.ramfs`

Ce qui évitera de mettre ce fichier en exclu lors de l'analyse journalière du système. Ceci étant si vous ne souhaitez pas patcher, vous pouvez placer le script (checkramfs.sh) ci-dessous dans /etc/cron.daily histoire qu'il surveille la taille du fichier .ramfs.

  file=`du -b /lib/init/rw/.ramfs | cut -f1`
  if $file -ne 0
  then
  echo "Fichier .ramfs pas bon"
fi

Mise à jour du 24-01-2009 : Si vous avez un problème avec le fichier .mdadm au-lieu de la ligne ci-dessus vous pouvez mettre ceci pour patcher le fichier /usr/sbin/chkrootkit :

files=`${find} ${DIR} \( -name ".A-Za-z*" -o -name "...*" -o -name ".. *" \) -and -not -wholename /lib/init/rw/.mdadm`

CyberSeb:: vendredi 23 janvier 2009

 rkhunter --versioncheck  -> pour vérifier que vous avez la dernière version.
 rkhunter --update        -> mettre à jour rkhunter.
 rkhunter --check         -> faire un scan de toute votre machine.