Le Fri, 24 Dec 2004 01:24:02 +0100 k3rn <[EMAIL PROTECTED]> a �crit: > Bonsoir > > Suite � un message sur cette ML, j'ai install� chkrootkit, et voici le > r�sultat : > > # chkrootkit -q > /usr/bin/strings: Warning: '/' is not an ordinary file > You have 8 process hidden for readdir command > You have 8 process hidden for ps command > Warning: Possible LKM Trojan installed > eth0: PACKET SNIFFER(/sbin/dhclient[1847]) > > Y a-t-il mati�re � s'inquieter ?
Il y a bcp de faux positifs avec chkrootkit mais il faut s'inqui�ter qd m�me. Je rappelle que j'ai fait un petit programme tr�s pratique qui permet d'identifer les processus cach�s en question et de pr�venir leur apparition. C'est un paquet (cacheproc sous deb http://boisson.homeip.net/woody/ ./ ou deb http://boisson.homeip.net/sarge/ ./ ) Il est compos� de deux programmes chercheprocess et regarde qui cherchent les processus cach�s. Ainsi pour Suckit, la sortie est dell1:/home/boisson# chercheprocess Recherche de processus cach�s F.Boisson Dec2003 ...Processus cach� :13528 Environnement: PWD=/usr/.sk12REMOTEHOST=R2D3.rebellesHZ=100PS1=\h:\w\$ USER=rootMAIL=/var/mail/ boissonOLDPWD=/home/[EMAIL PROTECTED]:0.0L OGNAME=bo issonSHLVL=2HUSHLOGIN=FALSESHELL=/bin/bashTERM=xtermHOME=/rootPATH=/sbi n:/bin:/u sr/sbin:/usr/bin:/usr/bin/X11:/usr/local/sbin:/usr/local/bin_=./sk Ligne de commande: ./sk ...\ 1 processus cach�(s) trouv�(s) dell1:/home/boisson# Cela permet de savoir le repertoire d'ex�cution (PWD=/usr/.sk12 ici), qui l'a lanc� (USER=root), plusieurs renseignements divers dans l'environnement et bien s�r, la ligne de commande ayant lanc� le processus (ici ./sk). regarde est le m�me programme mais sans sortie �cran si tout se passe bien. Mettre 0 * * * * root /usr/bin/regarde enverra un mail � root (via la sortie standard, bien configurer cron) en cas de processus trouv�. Il peut y avoir de rares cas de faux positifs lorsqu'un programme est d�truit entre sa d�tection et son analyse, dans ce cas, il n'affiche aucune ligne de commande (1 fois tous les deux mois environ chez moi sur une passerelle parefeu). Fran�ois Boisson
