Le ven 02/05/2003 � 18:53, Eric LeBlanc a �crit : > On 2 May 2003, Lionel Bargeot wrote: >
> > j'ai �t� tr�s �tonn� de ne plus pouvoir me loguer sur ma passerelle > > aujourd'hui avec le compte root. Le mot de passe ne fonctionnait plus et > > je ne pensais pas l'avoir chang�. > > Apr�s avoir boot� sur un CD rescue et remis les choses en ordre, j'ai > > fait un chkrootkit et voici les infos qui en ressortent : > > > > *Checking `lkm'... You have 1 process hidden for readdir command > > You have 1 process hidden for ps command > > Warning: Possible LKM Trojan installed > > Bien, le plus simple de te dire est que ta passerelle est piratee. Un > pirate a reussi a entrer dans ton systeme, et a installer un LKM (Loadable > Kernel Module). > > Ce module est fort simple, mais terriblemetn effiace: il permet de cacher > un certain nombre de programmes, quelques fichiers, de donner un acces > privilegie suite a une commande tres specifique, ainsi que d'autres > choses. > Pas n�cessairement. C'est dit dans toutes les docs sur le sujet. Ceci peut arriver quand le nombre de process trait�s est important et que ceux-ci ne durent pas longtemps. Cas typique des serveurs web. Le m�me test sur "lkm" donne g�n�ralement un r�sultat n�gatif quelques secondes plus tard puis redevient positif. C'est en gros une comparaison entre /proc et un "ps". Entre les deux le process peut disparaitre. Il se peut aussi que ce soit un rootkit. Il vaut mieux ne pas �tre trop parano sur ce sujet et v�rifier plus profond�ment. ps : c'est pour �a que l'utilisation des modules n'est pas la meilleure solution. Il vaut mieux parfois un kernel sur mesure. A+ -- nb <[EMAIL PROTECTED]>
