ARTUS Guillaume a écrit : | le Sun, Dec 19, 2004 at 12:15:03PM +0100, Nicolas Roudninski a ecrit: | > Salut, | > En lançant ce matin chkrootkit, j'ai eu : | > Checking `bindshell'... INFECTED (PORTS: 1524 31337) | | Si tu utilise portsentry, cela peut-etre un faux positif de chkrootkit | http://frenchkrootkit.free.fr/chkrootkit.org-mirror-fr/ | faq numero 7 | | > Checking `lkm'... You have 1 process hidden for readdir command | > You have 1 process hidden for ps command | > Warning: Possible LKM Trojan installed | | Idem, soit c'est un lkm, soit c'est un faux positif car un process est | mort (de facon normale) pendant le test.
Exact : j'utilise portsentry et je pense que c'est lui à l'origine du faux positif, car ... | De toute facon, recoupe la sortie de chkrootkit avec rkhunter: | http://www.rootkit.nl/ J'ai installé rkhunter et il ne détecte aucun trojan. Tout semble clean... | Sinon il te reste plus qu'a prendre ton courage a deux mains et chercher | qui peut avoir ouvert 1524 et 31337 (man netstat) et quels sont les signes | (fichiers, programmes,...) installes par les rootkit ouvrant les ports | 1524 et 31337... mais comme c'est 2 ports hyper classique la liste risque | d'etre longue... Ben heureusement, cela semblait une fausse alerte Merci bien. Bon dimanche. -- Nicolas Roudninski [EMAIL PROTECTED]