On Tue, 1 Jun 2004 15:23:20 +0000 (UTC) fred <[EMAIL PROTECTED]> wrote:
> bonjour, > > Par curiosit�, j'ai � sniff� � mon portable via eth0 en m�me temps > qu'�tait lanc� chkrootkit sur le dit portable. > > Or, d'une part, le sniff me r�pond que le mode � promiscuous � est > activ�(ce terme de promiscuous est assez... flou pour moi, dans ce cas). > > Et d'autre part, chkrootkit sur le portable ne d�tecte aucun sniff sur > eth0. > > De quoi est-ce donc ? > Aurais-je loup� quelque chose ? > Non, le mode promiscuous indique que la carte ethernet capture toutes les trames Ethernet et �s seulement celle en r�seau. Quant � chkrootkit, je m'en m�fie beaucoup pour deux choses: 1) Il ne d�tecte pas tous les modes promiscuous (du moins jusqu'en Janvier). Le seul test vraiment sur que j'ai trouv� et la commande "ip link". Cela est du � une deuxi�me m�thode pour mettre les interfaces en mode promiscuous. 2) La deuxi�me est que en situation, il ne m'a servi � rien. Fin d�cembre, suite � une n�gligence de ma part (serveur wu-ftpd non � jour), et en utilisant une faille du noyau (que j'�tais en train de recompiler), un rootkit a �t� install� sur ma machine � l'insu de chrootkit (SuckIT en l'occurrence). Du coup j'ai d�velopp� un script puis un petit programme en Caml qui d�tecte les processus cach�s et indique le r�pertoire d'ex�cution (m�me cach�), le pid et la ligne de commande. Ce programme correspond au paquet "cacheproc" et se trouve sur deb ftp://boisson.homeip.net/woody/ ./ source: deb-src ftp://boisson.homeip.net/source ./ Je l'ai int�gr� dans crontab et suis averti par mail en cas de processus cach�. Il peut y avoir de rares fausses alertes pour un processus fugitif (3 fois en 5 mois) Fran�ois Boisson
