OVH Community, votre nouvel espace communautaire.

Watchdog | Running Rootkit Hunter - Warnings found


LeFléo
18/06/2014, 09h46
Ok Daixiwen, je vais bien lire les warnings. Merci pour ton coup de main.
Je te tiens informé si je trouve quelque chose de suspect.

Daixiwen
17/06/2014, 08h39
Effectivement il n'a rien trouvé, mais tu as plusieurs warnings et c'est peut-être ça qui déclenche l’émission des emails. Je te conseille de lire chaque warning et de déterminer si c'est quelque chose de normal sur ton serveur ou si ça veut dire que quelque chose de bizarre s'est passé. Il y a notamment les services xinetd, l'autorisation du ssh root (à éviter si possible), et la présence du répertoire /dev/.udev
Si tout ceci est conforme à ce que tu devrais avoir, tu peux modifier la configuration de watchdog pour ignorer ces warnings. Par exemple pour le ssh root il te dit dans le log que tu peux ajouter l'option ALLOW_SSH_ROOT_USER. Pour les autres, tu devrais trouver quelles options définir dans la documentation.

LeFléo
16/06/2014, 22h19
Salut Daixiwen et merci pour ton message.

Ce qui est bizarre c'est qu'à la fin, il y a bien de marqué :
- Suspect files: 0
- Possible rootkits: 0
- Suspect applications: 0

Je n'ai pas pu copié collé le mail ici car il était bcp trop long. Du coup je l'ai hébergé ICI

Merci d'avance

Daixiwen
16/06/2014, 21h03
Il faudrait effectivement lire l'email en entier, parce que là on a que des lignes "Info". Il doit y avoir plus bas des lignes qui disent ce que ton scanner a trouvé de suspect sur ton serveur.

LeFléo
16/06/2014, 08h32
Bonjour à tous,

Je possède un serveur soyoustart, et je reçois des emails de la part de Watchdog@monserveur.com depuis quelques jours.
Malheureusement je ne comprends ce que ça veut dire.

Peut-être avez vous déjà reçu des emails comme ça ? Ou peut être comprenez-vous ce que cela veut dire...

Voici l'objet de l'email : [rkhunter] Warnings found for monserveur.com

Et voici le début de l'email :
Please inspect this machine, because it may be infected. Scan log:
[01:00:04] Running Rootkit Hunter version 1.3.4 on ns3269383
[01:00:04]
[01:00:04] Info: Start date is lundi 16 juin 2014, 01:00:04 (UTC+0200)
[01:00:04]
[01:00:04] Checking configuration file and command-line options...
[01:00:04] Info: Detected operating system is 'Linux'
[01:00:04] Info: Found O/S name: Ubuntu 12.04 LTS
[01:00:04] Info: Command line is /opt/psa/admin/sbin/modules//watchdog/rkhunter -c --configfile /opt/psa/etc/modules/watchdog/rkhunter.conf --cronjob --propupd --createlogfile
[01:00:04] Info: Environment shell is /bin/sh; rkhunter is using bash
[01:00:04] Info: Using configuration file '/opt/psa/etc/modules/watchdog/rkhunter.conf'
[01:00:04] Info: Installation directory is '/opt/psa'
[01:00:04] Info: Using language 'en'
[01:00:04] Info: Using '/opt/psa/var/modules/watchdog/lib/rkhunter/lib/rkhunter/db' as the database directory
[01:00:04] Info: Using '/opt/psa/var/modules/watchdog/lib/rkhunter/rkhunter/scripts' as the support script directory
[01:00:04] Info: Using '/opt/psa/admin/bin/modules/watchdog /usr/local/bin /usr/local/sbin /bin /sbin /usr/bin /usr/sbin /bin /usr/bin /sbin /usr/sbin /usr/local/bin /usr/local/sbin /usr/libexec /usr/local/libexec' as the command directories
.......
(je ne met pas tout car c'est assez long, mais je peux le mettre pour nous permettre de mieux comprendre si vous le souhaitez)

Si j'ai bien compris, Rootkit Hunter est en fait un scan qui scanne le serveur. J'ai lu sur certains forums qu'il pouvait faire des faux positifs assez souvent, mais je préférais avoir quand même votre avis.

Merci d'avance pour votre aide.