On 2 May 2003, Lionel Bargeot wrote: > Bonjour, > > j'ai �t� tr�s �tonn� de ne plus pouvoir me loguer sur ma passerelle > aujourd'hui avec le compte root. Le mot de passe ne fonctionnait plus et > je ne pensais pas l'avoir chang�. > Apr�s avoir boot� sur un CD rescue et remis les choses en ordre, j'ai > fait un chkrootkit et voici les infos qui en ressortent : > > *Checking `lkm'... You have 1 process hidden for readdir command > You have 1 process hidden for ps command > Warning: Possible LKM Trojan installed
Bien, le plus simple de te dire est que ta passerelle est piratee. Un pirate a reussi a entrer dans ton systeme, et a installer un LKM (Loadable Kernel Module). Ce module est fort simple, mais terriblemetn effiace: il permet de cacher un certain nombre de programmes, quelques fichiers, de donner un acces privilegie suite a une commande tres specifique, ainsi que d'autres choses. J'aimerais bien que tu me dises c'est quio la configuration de ton systeme (version de debian, est-il mis a jour, version du kernel, etc...). Idealement, ca serait que tu fasses du "forensic analysis", et que tu puisses nous dire comment il a pu reussir a entrer sur ta passerelle :-) > > Quelqu'un pourrait-il m'�claircir sur la signification de ceci ? bref > est-ce grave docteur ? Le programme de v�rification est-il un peu > tatillon ? > > Merci > > Lionel E. -- Eric LeBlanc [EMAIL PROTECTED] -------------------------------------------------- UNIX is user friendly. It's just selective about who its friends are. ==================================================
