On Sun, 28 Dec 2003 19:03:16 +0100 "Jean-Luc Coulon (f5ibh)" <[EMAIL PROTECTED]> wrote:
> Le 28.12.2003 18:53, Fran�ois Boisson a �crit�: > | > |> En effet celui-l� va mieux ... mais je pense que chkrootkit > |(chkproc) > |> effectue les m�mes v�rifications. > | > |Ben non, j'ai fait le test et envoyer le tout au d�veloppeur de > |chkrootkit. Il indique des processus cach�s mais pas lesquels et n'a > |pas > |d�tect� SuckIT chez moi (cf fil pr�c�dent) > | > Pour SuckIT, je ne sais pas, je ne l'ai pas encore (?). > Pour savoir les processus cach�s, s'il les signale pour lkm, il > suffit de faire chkrootkit -x lkm et on obtient ainsi les infos sur > les processus en question. Il ne reste plus qu'� v�rifier dans /proc > si ce sont des processus �inocents� ou pas. > Oui, surement, le seul probl�me est que quand �a m'est arriv�, j'ai �t� d�rout� et que chkrootkit m'a plut�t induit en erreur. chkrootkit se veut un outil universel, le fait qu'il donne dans deux cas des r�ponses erron�es m'amm�ne � ne plus lui faire enti�rement confiance. Mon script est peut �tre limit� mais le principe est simple et, je crois, efficace. En tout cas, il m'aurait rendu grand service en situation comme me l'ont prouv� mes tests sur une machine infect�e. Fran�ois Boisson
