"Liste blanche" faussement positive de Chkrootkit

Question

Je souhaite "dresser une liste blanche" de certains des faux positifs de chkrootkit. Pour cette raison, j'aimerais utiliser le /etc/chkrootkit.conf comme "liste blanche".

Mais cela ne fonctionne pas: RUN_DAILY_OPTS="-q -e '/sbin/init /sbin/dhclient'

Et j'obtiens toujours les faux positifs suivants:

Warning: /sbin/init INFECTED eth0: PACKET SNIFFER(/sbin/dhclient (deleted)[…])

Je sais que ce n'est pas une vraie liste blanche, mais les faux positifs ne devraient pas m'envoyer des emails tous les jours. chkrootkit version 0.49

Rinzwind · Accepted Answer

Vous pouvez les mettre dans un ...

/etc/chkrootkit.filter

Quand vous mettez ça dans ...

^eth0: PACKET SNIFFER\(/sbin/dhclient$$[0-9]*$$)$

il ignorera le client sur eth0. Ajoutez ce fichier à /etc/cron.daily/chkrootkit. Trouver ...

$CHKROOTKIT $RUN_DAILY_OPTS

avec votre éditeur préféré et changez-le en ...

$CHKROOTKIT $RUN_DAILY_OPTS | grep -v -f $FILTER || true

et (quelque part au début) ajoutez ...

FILTER=/etc/chkrootkit.filter

après ...

CF=/etc/chkrootkit.conf

Avant de commencer, faites un ...

./chkrootkit

La référence faussement positive à dhclient devrait apparaître et, après avoir été modifiée, lancez-la à nouveau. La référence à dhclient devrait disparaître.

Attention, tout ce que vous ajoutez à cela et qui est infecté ne vous sera plus prévenu. Alors soyez prudent avec ce genre de filtrage. Mieux serait de leur demander de mettre à jour leurs définitions.