Le Samedi 27 D�cembre 2003 16:39, daniel huhardeaux a �crit : > Check where sk is: cd /proc; for i in *; do test -f $i/cmdline && (cat > $i/cmdline; echo $i | grep -e "sk"); done This will return the PID for > sk, Ok, si j'execute: # cd /proc;for i in *;do test -f $i/cmdline && (cat $i/cmdline; echo $i | \ grep -e "sk");done j'obtiens: /usr/sbin/sshd /sbin/syslogd /sbin/klogd -bash bash /usr/sbin/inetd /bin/sh/usr/bin/safe_mysqld /usr/local/bin/spamd -c -m 10 -d --pidfile=/var/run/spamd.pid stunnel-d995-r110 stunnel-d993-r143 stunnel-d3307-rlocalhost:3306 /usr/sbin/ntpd /usr/sbin/cron /usr/sbin/apache /usr/sbin/apache-ssl /sbin/getty38400tty2 /sbin/getty38400tty3 /sbin/getty38400tty4 /sbin/getty38400tty5 /sbin/getty38400tty6 /usr/sbin/pppdcalldsl-provider /usr/sbin/pppoe-Ieth0-T80-m1452 /sbin/getty38400tty1 stunnel-d3307-rlocalhost:3306 catself/cmdline
> change to that dir and grep environ -e "pwd". Je prends la premi�re ligne et je vais dans /usr/sbin. qu'est-ce que je fais maintenant? grep ??? -e "pwd" La commande devrait me retourner le path vers le rootkit. Il suffit de le d�sinstaller ensuite avec "./sk -u". Ca me parrait un peu simpliste non? Merci de m'indiquer une m�thodologie. Si j'en crois le message pr�c�dent, 80 % de mes processus seraient infect�s!!! Merci d'avance. -- Loick.B
