Beno�t Barbier wrote:
Et oui, cela existe...Salut la liste,
Un chkrootkit me donne:
--8<--
Checking `lkm'... You have 2 process hidden for readdir command You have 2 process hidden for ps command Warning: Possible LKM Trojan installed
Est-ce que je dois m'inqui�ter ou pas? Comment v�rifier la pr�sence d'un mauvais module?
Merci d'avance,
Les ex�cutables les plus concern�s sont ceux qui devraient te servir d'outil pour d�tecter une intrusion : ps, ls, find par exemple, dans /bin et /sbin.
Ainsi, un 'ps' v�rol� semblera fonctionner convenablement mais ... omettra de signaler les processus pirates, ou les directories litigieuses (comme 'xxxx/. ', avec un espace apr�s le point) !
Puisque cela risque d'�tre fait, tu pourrais comparer ces ex�cutables avec ceux qui sont fournis par la distribution (compare avec une installation fra�che sur un PC non connect�...). Pour ma part, imm�diatement apr�s un install, j'effectue une sauvegarde de ces /bin, /sbin, /usr/sbin et /usr/bin afin de les avoir sous la main en cas de doute.
Tu peux utiliser un KNOPPIX pour faire des 'find' incorrptibles.
Mais si tu as fait des upgrades (YOU sous SuSE par ex.) tu risques d'observer des diff�rences normales au niveau des ex�cutables.
Pour la prochaine fois, en pr�vision, tu peux utiliser tripwire par ex. mais je trouve cela quand m�me lourd.
Je n'ai observ� qu'une seule intrusion, sur un NAS pr�configur� 'tout-ouvert' qui a �t� contamin� avant que je m'en occupe -- je n'avais pas encore eu l'autorisation d'installer un firewall -> cela m'a servi d'argument sensible pour l'obtenir !
Bonne recherche.
Alain
--
------------------------------------------------------------
Dr Alain EMPAIN <[EMAIL PROTECTED]> <[EMAIL PROTECTED]>
Bioinformatics, Molecular Genetics, Fac. Med. Vet., University of Li�ge, Belgium
Bd de Colonster, B43 B-4000 Li�ge (Sart-Tilman)
WORK: +32 4 366 3821 FAX: +32 4 366 4122
HOME: rue des Martyrs,7 B- 4550 Nandrin +32 85 51 23 41 GSM: +32 497 70 17 64
--------------------------------------------------------------------------------
"I worry about my child and the Internet all the time, even though she's
too young to have logged on yet. Here's what I worry about. I worry that
10 or 15 years from now, she will come to me and say 'Daddy, where were
you when they took freedom of the press away from the Internet?'" --Mike Godwin, Electronic Frontier Foundation --------------------------------------------------------------------------------
_______________________________________________________ Linux Mailing List - http://www.unixtech.be Subscribe/Unsubscribe: http://www.unixtech.be/mailman/listinfo/linux Archives: http://www.mail-archive.com/[EMAIL PROTECTED] IRC: chat.unixtech.be:6667 - #unixtech
