J'en ai recherché sur Google et vérifié les deux premiers liens qu'il a trouvés:
- http://www.skullbox.net/rkhunter.php
- http://www.techerator.com/2011/07/how-to-detect-rootkits-in-linux-with-rkhunter/
Ils ne mentionnent pas ce que je dois faire en cas de tels avertissements:
Warning: The command '/bin/which' has been replaced by a script: /bin/which: POSIX shell script text executable
Warning: The command '/usr/sbin/adduser' has been replaced by a script: /usr/sbin/adduser: a /usr/bin/perl script text executable
Warning: The command '/usr/bin/ldd' has been replaced by a script: /usr/bin/ldd: Bourne-Again shell script text executable
Warning: The file properties have changed:
File: /usr/bin/lynx
Current hash: 95e81c36428c9d955e8915a7b551b1ffed2c3f28
Stored hash : a46af7e4154a96d926a0f32790181eabf02c60a4
Q1: Existe-t-il des HowTos plus étendus qui expliquent comment gérer différents types d'avertissements?
Et la deuxième question. Mes actions ont-elles été suffisantes pour résoudre ces avertissements?
a) Pour trouver le paquet qui contient le fichier suspect, par exemple ce sont des debianutils pour le fichier / bin / qui
~ > dpkg -S /bin/which
debianutils: /bin/which
b) Pour vérifier les sommes de contrôle du paquet debianutils:
~ > debsums debianutils
/bin/run-parts OK
/bin/tempfile OK
/bin/which OK
/sbin/installkernel OK
/usr/bin/savelog OK
/usr/sbin/add-shell OK
/usr/sbin/remove-shell OK
/usr/share/man/man1/which.1.gz OK
/usr/share/man/man1/tempfile.1.gz OK
/usr/share/man/man8/savelog.8.gz OK
/usr/share/man/man8/add-shell.8.gz OK
/usr/share/man/man8/remove-shell.8.gz OK
/usr/share/man/man8/run-parts.8.gz OK
/usr/share/man/man8/installkernel.8.gz OK
/usr/share/man/fr/man1/which.1.gz OK
/usr/share/man/fr/man1/tempfile.1.gz OK
/usr/share/man/fr/man8/remove-shell.8.gz OK
/usr/share/man/fr/man8/run-parts.8.gz OK
/usr/share/man/fr/man8/savelog.8.gz OK
/usr/share/man/fr/man8/add-shell.8.gz OK
/usr/share/man/fr/man8/installkernel.8.gz OK
/usr/share/doc/debianutils/copyright OK
/usr/share/doc/debianutils/changelog.gz OK
/usr/share/doc/debianutils/README.shells.gz OK
/usr/share/debianutils/shells OK
c) Pour me détendre /bin/which
comme je vois bien
/bin/which OK
d) Pour mettre le fichier /bin/which
en /etc/rkhunter.conf
tant queSCRIPTWHITELIST="/bin/which"
e) Pour les avertissements comme pour le fichier, /usr/bin/lynx
je mets à jour la somme de contrôle avecrkhunter --propupd /usr/bin/lynx.cur
Q2: Dois-je résoudre ces avertissements correctement?
In general, the only way to trust that a machine is free from backdoors and intruder modifications is to reinstall the operating system from the distribution media and install all of the security patches before connecting back to the network. We encourage you to restore your system using known clean binaries.