Packet Sniffer trouvé, et ensuite?

Dhclient est le "client de protocole de configuration d'hôte dynamique" standard pour Ubuntu qui est nécessaire lorsque vous n'avez pas d'adresse IP fixe mais que vous souhaitez tout de même être joignable à partir d'Internet.

Au cas où vous seriez inquiet, vous devriez vérifier votre dhclient.conf pour les entrées non désirées.

Les packages isc-dhcp-client et isc-dhcp-server (client et serveur DHCP) réexécutent leurs démons régulièrement et provoquent un "paquet renifleur" faux positif. Le script /etc/cron.daily/chkrootkit du package chkrootkit comporte une solution de contournement qui tente de remplacer le PID par une chaîne statique.

Cependant, la solution de contournement pour le faux positif ne fonctionne pas. En effet, sous Debian, les fichiers binaires de ces paquets finissaient par un numéro de version, par exemple. /sbin/dhclient3. Mais les mainteneurs de paquets chkrootkit n'ont jamais mis à jour /etc/cron.daily/chkrootkit pour fonctionner avec la série 4 des packages isc-dhcp-client et isc-dhcp-server, dont les fichiers ne possèdent pas le numéro de version.

Pour résoudre ce problème, faites une copie de sauvegarde de /etc/cron.daily/chkrootkit puis éditez-la et modifiez-la ...

sed -r -e 's,eth(0|1)(:[0-9])?: PACKET SNIFFER\((/sbin/dhclient3|/usr/sbin/dhcpd3)\[[0-9]+\]\),eth\[0|1\]: PACKET SNIFFER\([dhclient3|dhcpd3]{PID}\),' \

...à...

sed -r -e 's,eth(0|1)(:[0-9])?: PACKET SNIFFER\((/sbin/dhclient|/usr/sbin/dhcpd)\[[0-9]+\]\),eth\[0|1\]: PACKET SNIFFER\([dhclient|dhcpd]{PID}\),' \

Veillez à laisser la barre oblique inversée à la fin de la ligne.