Re: =?ISO-8859-1?Q?S=E9curit=E9_=28suite=29_=E9tait_Re=3A_?= =?ISO-8859-1?Q?HS_=5BIntrusion=2C_reconstitution=5D_=E9tait_Re=3A?= =?ISO-8859-1?Q?Quel_kernel_=3F?=

Sat, 27 Dec 2003 11:46:33 -0600 

Loick.B wrote:


Le Samedi 27 D�cembre 2003 16:39, daniel huhardeaux a �crit :

Check where sk is: cd /proc; for i in *; do test -f $i/cmdline && (cat
$i/cmdline; echo $i | grep -e "sk"); done This will return the PID for
sk, 
Ok, si j'execute:
# cd /proc;for i in *;do test -f $i/cmdline && (cat $i/cmdline; echo $i | \
grep -e "sk");done
j'obtiens:
/usr/sbin/sshd
/sbin/syslogd
/sbin/klogd
-bash
bash
/usr/sbin/inetd
/bin/sh/usr/bin/safe_mysqld
/usr/local/bin/spamd -c -m 10 -d --pidfile=/var/run/spamd.pid
stunnel-d995-r110
stunnel-d993-r143
stunnel-d3307-rlocalhost:3306
/usr/sbin/ntpd
/usr/sbin/cron
/usr/sbin/apache
/usr/sbin/apache-ssl
/sbin/getty38400tty2
/sbin/getty38400tty3
/sbin/getty38400tty4
/sbin/getty38400tty5
/sbin/getty38400tty6
/usr/sbin/pppdcalldsl-provider
/usr/sbin/pppoe-Ieth0-T80-m1452
/sbin/getty38400tty1
stunnel-d3307-rlocalhost:3306
catself/cmdline
change to that dir and grep environ -e "pwd". 
Je prends la premi�re ligne et je vais dans /usr/sbin.
qu'est-ce que je fais maintenant?
grep ??? -e "pwd"*
grep -e environ "pwd" Si vous n'etes pas infecte (grep sk) ne retourne rien. Le plus simple est d'installer chkrootkit pour tester votre environnement. Si vous etes infecte, la premiere des choses est de vous deconnecter de tout reseau avec cette machine. 


La commande devrait me retourner le path vers le rootkit.
Il suffit de le d�sinstaller ensuite avec "./sk -u".
Ca me parrait un peu simpliste non?

Voir en bas de message


Merci de m'indiquer une m�thodologie.
Si j'en crois le message pr�c�dent, 80 % de mes processus seraient infect�s!!!
Non, parcequ'il ne s'agit pas des pids de sk. Installez chkrootkit et testez votre machine 


Merci d'avance.
Voici l'article en entier. Si vous avez lu le lien fourni avec le message d'origine, vous comprendriez qu'effectivement il ne s'agit pas *que* de d�sinstaller sk. Ceci est egalement rappele dans le message ci dessous. Les liens fournis en fin de message sont egalement tres interessant. 

http://www.linuxquestions.org/questions/history/35743

Salutations

--
:  ______ ______ ______ ______ ______ __  [EMAIL PROTECTED]
: /_____// __  // __  //_____// __  // / phone.: +48 32 285 5276
:  / /  / /_/ // /_/ /  / /  / /_/ // / fax....: +48 32 285 5276
: /_/  /_____//_____/  /_/  /_/ /_//_/ mobile..: +48 602 284 546

Répondre à