Re: résultat de chkrootkit
Le Fri, 24 Dec 2004 01:24:02 +0100 k3rn [EMAIL PROTECTED] a écrit: Bonsoir Suite à un message sur cette ML, j'ai installé chkrootkit, et voici le résultat : # chkrootkit -q /usr/bin/strings: Warning: '/' is not an ordinary file You have 8 process hidden for readdir command You have 8 process hidden for ps command Warning: Possible LKM Trojan installed eth0: PACKET SNIFFER(/sbin/dhclient[1847]) Y a-t-il matière à s'inquieter ? Il y a bcp de faux positifs avec chkrootkit mais il faut s'inquiéter qd même. Je rappelle que j'ai fait un petit programme très pratique qui permet d'identifer les processus cachés en question et de prévenir leur apparition. C'est un paquet (cacheproc sous deb http://boisson.homeip.net/woody/ ./ ou deb http://boisson.homeip.net/sarge/ ./ ) Il est composé de deux programmes chercheprocess et regarde qui cherchent les processus cachés. Ainsi pour Suckit, la sortie est dell1:/home/boisson# chercheprocess Recherche de processus cachés F.Boisson Dec2003 ...Processus caché :13528 Environnement: PWD=/usr/.sk12REMOTEHOST=R2D3.rebellesHZ=100PS1=\h:\w\$ USER=rootMAIL=/var/mail/ boissonOLDPWD=/home/[EMAIL PROTECTED]:0.0L OGNAME=bo issonSHLVL=2HUSHLOGIN=FALSESHELL=/bin/bashTERM=xtermHOME=/rootPATH=/sbi n:/bin:/u sr/sbin:/usr/bin:/usr/bin/X11:/usr/local/sbin:/usr/local/bin_=./sk Ligne de commande: ./sk ...\ 1 processus caché(s) trouvé(s) dell1:/home/boisson# Cela permet de savoir le repertoire d'exécution (PWD=/usr/.sk12 ici), qui l'a lancé (USER=root), plusieurs renseignements divers dans l'environnement et bien sûr, la ligne de commande ayant lancé le processus (ici ./sk). regarde est le même programme mais sans sortie écran si tout se passe bien. Mettre 0 * * * * root/usr/bin/regarde enverra un mail à root (via la sortie standard, bien configurer cron) en cas de processus trouvé. Il peut y avoir de rares cas de faux positifs lorsqu'un programme est détruit entre sa détection et son analyse, dans ce cas, il n'affiche aucune ligne de commande (1 fois tous les deux mois environ chez moi sur une passerelle parefeu). François Boisson
Re: résultat de chkrootkit
Denis Bodor wrote: procps est-il à jour ? Il m'est déjà arrivé d'avoir ce type d'alerte pour cette raison Test refait ce matin, plus d'alerte de ce type. eth0: PACKET SNIFFER(/sbin/dhclient[1847]) En revanche, ça, j'ai toujours... # chkrootkit -q /usr/bin/strings: Warning: '/' is not an ordinary file eth0: PACKET SNIFFER(/sbin/dhclient[6073]) Ca, ca m'inquièterai bien plus. Et je suis en train de m'inquièter... Je n'ai strictement aucune idée de la signification de cette ligne... Je n'ai pas (plus) de server dhcp... Quelqu'un peut-il me donner des infos ? (ou une marche à suivre pour tester plus en détails ?) Merci k3rn qui s'inquiète...
Re: résultat de chkrootkit
Le 24.12.2004 12:17:55, k3rn a écrit : Denis Bodor wrote: procps est-il à jour ? Il m'est déjà arrivé d'avoir ce type d'alerte pour cette raison Test refait ce matin, plus d'alerte de ce type. eth0: PACKET SNIFFER(/sbin/dhclient[1847]) En revanche, ça, j'ai toujours... # chkrootkit -q /usr/bin/strings: Warning: '/' is not an ordinary file eth0: PACKET SNIFFER(/sbin/dhclient[6073]) parce que dhclient est par vocation un « sniffer » Il ne faut s'inquiéter des sniffer que s'ils mentionnent des processus que vous n'avez pas lancé. Si vous avez tcpdump qui tourne, c'est normal, si nous avez psad ou snort, c'est normal, dhclient aussi. Xe qui serait moins normal c'est d'avoir un pricessus tcpdump par exemple que VOUS n'avez pas lancé. Ca, ca m'inquièterai bien plus. Et je suis en train de m'inquièter... Je n'ai strictement aucune idée de la signification de cette ligne... Je n'ai pas (plus) de server dhcp... Quelqu'un peut-il me donner des infos ? (ou une marche à suivre pour tester plus en détails ?) Merci k3rn qui s'inquiète... Jean-Luc pgpEcDB9zoPHA.pgp Description: PGP signature
Re: résultat de chkrootkit
On 2004-12-24 01:24:02 +0100, k3rn wrote: You have 8 process hidden for readdir command You have 8 process hidden for ps command Warning: Possible LKM Trojan installed J'avais eu ce genre de problème dans le passé; c'était un bug, qui a probablement été corrigé. Tu as pris la version unstable de chkrootkit? eth0: PACKET SNIFFER(/sbin/dhclient[1847]) J'ai eu ça aussi (c'est un faux positif). Ça m'a permis de voir que j'utilisais dhclient au lieu de pump. J'ai donc fait le nécessaire pour corriger. :) -- Vincent Lefèvre [EMAIL PROTECTED] - Web: http://www.vinc17.org/ 100% accessible validated (X)HTML - Blog: http://www.vinc17.org/blog/ Work: CR INRIA - computer arithmetic / SPACES project at LORIA
résultat de chkrootkit
Bonsoir Suite à un message sur cette ML, j'ai installé chkrootkit, et voici le résultat : # chkrootkit -q /usr/bin/strings: Warning: '/' is not an ordinary file You have 8 process hidden for readdir command You have 8 process hidden for ps command Warning: Possible LKM Trojan installed eth0: PACKET SNIFFER(/sbin/dhclient[1847]) Y a-t-il matière à s'inquieter ? D'avance merci...