Je ne sais pas à quel point ce rootkit compromet le système, mais il est toujours intéressant de voir si l'intégrité de keyutils-libs est vérifiable ou non, sans toutefois prendre un résultat positif pour argent comptant !
La commande suivante sous toute distribution basées sur RPM devrait marcher: rpm -V -v
Exemple avec la famille RHEL/CentOS/Fedora:
/bin/rpm -V -v keyutils-libs
Il est recommandé dans de telles circonstances de s'assurer que l'on utilise le binaire 'rpm' attendu en précisant son chemin complet. Si vous deviez utiliser 'sudo' cela donnerait:
/usr/bin/sudo /bin/rpm -V -v keyutils-libs
Le résultat devrait être quelque chose dans le genre:
……… /lib64/libkeyutils.so.1
……… /lib64/libkeyutils.so.1.3
……… /usr/share/doc/keyutils-libs-1.4
……… d /usr/share/doc/keyutils-libs-1.4/LICENCE.LGPL
Ce qui veut dire que tout va bien. Pour plus d'information il y a le man ou cette page-ci : RPM as an IDS
Important : si le rootkit est suffisamment malin pour modifier votre base RPM local proprement, la commande peut vous indiquer que tout va bien quand c'est faux. Le résultat est à prendre avec circonspection et recul.
# Une méthode pour vérifier l'intégrité de keyutils-libs
Posté par Jean-Christophe Berthon . En réponse à la dépêche Infection par rootkit « SSHd Spam » sur des serveurs RHEL/CentOS. Évalué à 2.
Je ne sais pas à quel point ce rootkit compromet le système, mais il est toujours intéressant de voir si l'intégrité de keyutils-libs est vérifiable ou non, sans toutefois prendre un résultat positif pour argent comptant !
La commande suivante sous toute distribution basées sur RPM devrait marcher: rpm -V -v
Exemple avec la famille RHEL/CentOS/Fedora:
Il est recommandé dans de telles circonstances de s'assurer que l'on utilise le binaire 'rpm' attendu en précisant son chemin complet. Si vous deviez utiliser 'sudo' cela donnerait:
Le résultat devrait être quelque chose dans le genre:
……… /lib64/libkeyutils.so.1
……… /lib64/libkeyutils.so.1.3
……… /usr/share/doc/keyutils-libs-1.4
……… d /usr/share/doc/keyutils-libs-1.4/LICENCE.LGPL
Ce qui veut dire que tout va bien. Pour plus d'information il y a le man ou cette page-ci : RPM as an IDS
Important : si le rootkit est suffisamment malin pour modifier votre base RPM local proprement, la commande peut vous indiquer que tout va bien quand c'est faux. Le résultat est à prendre avec circonspection et recul.