• # Une méthode pour vérifier l'intégrité de keyutils-libs

    Posté par . En réponse à la dépêche Infection par rootkit « SSHd Spam » sur des serveurs RHEL/CentOS. Évalué à 2.

    Je ne sais pas à quel point ce rootkit compromet le système, mais il est toujours intéressant de voir si l'intégrité de keyutils-libs est vérifiable ou non, sans toutefois prendre un résultat positif pour argent comptant !

    La commande suivante sous toute distribution basées sur RPM devrait marcher: rpm -V -v

    Exemple avec la famille RHEL/CentOS/Fedora:

    /bin/rpm -V -v keyutils-libs
    
    

    Il est recommandé dans de telles circonstances de s'assurer que l'on utilise le binaire 'rpm' attendu en précisant son chemin complet. Si vous deviez utiliser 'sudo' cela donnerait:

    /usr/bin/sudo /bin/rpm -V -v keyutils-libs
    
    

    Le résultat devrait être quelque chose dans le genre:
    ……… /lib64/libkeyutils.so.1
    ……… /lib64/libkeyutils.so.1.3
    ……… /usr/share/doc/keyutils-libs-1.4
    ……… d /usr/share/doc/keyutils-libs-1.4/LICENCE.LGPL

    Ce qui veut dire que tout va bien. Pour plus d'information il y a le man ou cette page-ci : RPM as an IDS

    Important : si le rootkit est suffisamment malin pour modifier votre base RPM local proprement, la commande peut vous indiquer que tout va bien quand c'est faux. Le résultat est à prendre avec circonspection et recul.