Rkhunter résultats étranges ou faux positifs ? Le sujet est résolu

[xtrox]

Bonjour,

J'ai fais un scan avec Rkhunter et je ne sais pas si les résultats sont des faux positifs ou si j'ai un réel problème sur mon installation V.11
J'ai fais des recherches en ligne mais j'ai rien trouvé de correspondant. Votre aide est la bienvenue pour m'aider à comprendre comme je dois agir.
Voici le log qui m'inquiète: c'est normal d'après vous d'avoir ça dans /dev/shm ?

[10:32:08]
[10:32:08] Info: Starting test name 'filesystem'
[10:32:08] Performing filesystem checks
[10:32:08] Info: SCAN_MODE_DEV set to 'THOROUGH'
[10:32:09] Checking /dev for suspicious file types [ Warning ]
[10:32:09] Warning: Suspicious file types found in /dev:
[10:32:09] /dev/shm/ad_mailbox_5008_0_1_evt_event_mtx: data
[10:32:09] /dev/shm/ad_mailbox_5008_0_1_mtx: data
[10:32:09] /dev/shm/ad_mailbox_5008_0_1_shm: data
[10:32:09] /dev/shm/ad_mailbox_5008_0_0_evt_event_mtx: data
[10:32:09] /dev/shm/ad_mailbox_5008_0_0_mtx: data
[10:32:09] /dev/shm/ad_mailbox_5008_0_0_shm: data
[10:32:09] /dev/shm/ad_mailbox_4958_0_1_evt_event_mtx: data
[10:32:09] /dev/shm/ad_mailbox_4958_0_1_mtx: data
[10:32:09] /dev/shm/ad_mailbox_4958_0_1_shm: data
[10:32:09] /dev/shm/ad_mailbox_4958_0_0_evt_event_mtx: data
[10:32:09] /dev/shm/ad_mailbox_4958_0_0_mtx: data
[10:32:09] /dev/shm/ad_mailbox_4958_0_0_shm: data
[10:32:09] /dev/shm/ad_connect_queue_4948_0_evt_event_mtx: data
[10:32:09] /dev/shm/ad_connect_queue_4948_0_mtx: data
[10:32:09] /dev/shm/ad_connect_queue_4948_0_shm: data
[10:32:09] /dev/shm/ad_621_gsystem_evt_event_mtx: data
[10:32:09] /dev/shm/ad_621_gsystem_mtx: data
[10:32:09] /dev/shm/ad_621_gsystem_shm: data
[10:32:09] /dev/shm/ad_621_lsystem_evt_event_mtx: data
[10:32:09] /dev/shm/ad_621_lsystem_mtx: data
[10:32:09] /dev/shm/ad_621_lsystem_shm: data

D'avance merci de m'avoir lu.

[lol]

Salut et bienvenue!


/dev/shm est généralement utilisé comme emplacement de stockage pour tmpfs
https://fr.wikipedia.org/wiki/M%C3%A9mo ... processus)

Aucune idée de ce que sont ces avertissements, à moins que tu ne fasses l'effort de comprendre ce que ton système exécute et que tu te demandes s'il est prudent (ou pas) d'ignorer ces avertissements.

Code : Tout sélectionner

/dev/shm/ad_mailbox_5008_0_0_mtx: data

Qu'as-tu installé "d'exotique" qui sorte d'une installation basique de Debian ???

Histoire de commencer donnes-nous la sortie de

Code : Tout sélectionner

$ df -h

[xtrox]

Merci @lol j'arrivais pas à m'en débarrasser pensant que c'était des fichiers temporaires j'ai rebooté plusieurs fois et repassé le scan ils était toujours présents ces foutus fichiers mailbox. J'ai rien installé de très exotique hormis des drivers Nvidia.

Pour faire l'histoire courte aujourd'hui plus un fichier dans /dev/shm le dossier est vide et j'ai repassé rkhunter et cette fois il a rien flagé!
Merci pour ta réponse c'est pour l'instant résolu.

[lol]

Salut,

J'arrivais pas à m'en débarrasser pensant que c'était des fichiers temporaires...

Ce sont des fichiers temporaires.
Il s'agit d'un montage de tmpfs sur /dev/shm. C'est géré automatiquement par systemd.

La machine dont nous parlons est utilisée pour faire quoi ?
C'est un serveur ou une machine de bureau ?


Je suis bien incapable de te dire comment trouver le processus à l'origine de ces fichiers.
J'ai lu un sujet ou quelqu'un disait que des fichiers detectés par Rkhunter dans /dev/shm avait été écrit à l'ouverture d'un mail...


En tout cas méfie toi de Rkhunter qui est un spécialiste des faux positifs et qui ne te protégera pas: si Rkhunter détecte une vraie menace, ce sera déjà trop tard, elle est sur ta machine...

ROOTKIT HUNTER AS PART OF YOUR SECURITY STRATEGY
================================================

Rootkit Hunter is a host-based, passive, post-incident, path-based tool.