> On Thu, 2004-03-11 at 09:21, Hervé Nicol wrote:
> > Effectivement, comme LKM ("Linux Kernel Module") est un module noyau, une
> > maj noyau peut permettre de s'en débarasser... mais le problème, c'est
> > qu'en général il fait partie d'un rootkit, qui en profite pour modifier la
> > plupart des binaires existants sur le système.
Il m'est deja arriver d'avoir un root-kit sur ma machine debian
et ne voulant pas tout reinstaller j'ai appliquer la methode
suivante :
boot depuis CD d'install debian en mode rescue
mise a jours des binaires bash, apt-get, wget, dpkg depuis une base
saine
et ensuite :
####
chroot <repertoire de mon disque>
for i in `dpkg -l | cut -d " " -f 3`
do
apt-get install --reinstall $i
done
####
bon c'est violent, ca prend du temps et il faut une bonne connexion,
mais au moins j'ai fait tourner ca une nuit et au final j'avais tous les
binaires reinstaller, et ma config preservee
par contre attention, ca ne remet que les binaires, si vous avez un
systme qui planque dans un script de demarrage de telecharger le
root-kit et de le reinstaller au reboot ca ne sert a rien...
voila... sinon depuis cet histoire j'utilise le package "aide" pour
surveiller les modifications de fichiers sur ma machine
Aubin
Linux-Azur : http://www.linux-azur.org
Désinscriptions: http://www.linux-azur.org/liste.php3
**** Pas de message au format HTML, SVP ****
