J'ai la même sortie que toi pour ./chkrootkit -x lkm Et je suis certain de ne pas être infecté. A moins que depuis 1H ma Debian/Sid toute fraiche ne soit corrompue ;) Je ne peux pas t'aider plus. Sache tout de même que snort, s'il est installé, produit des faux positifs avec chkrootkit. ++ Le dim 02/11/2003 à 16:51, Jean-Claude AYGALENQ a écrit : > Bonsoir, > > Je crois bien que ma machine est infectée. > (Je suis sous debian/instable: noyau 2.4.22 > J'ai installe un environnement graphique avec gnome et puis xfce3 > parceque j'ai pas reussi a faire marche la version 4) > Un comportement suppect m'a interpellé: > Je suis sous xfce et j'ecoute la radio (fip) > et alors que je dinais a table je constate > que le proc se met soudainement a mouliner sans raison. > Je fait un ps aux et je vois que le proc est occupe a 60% > Je regarde le process en question (inconnu et sur le compte > de mon ami qui s'est loggue en graphique sous gnome il y 2 heures. > Je me rends sur son bureau: aucune appli est lance. > Tout revient a la normale: tres louche. > Bref!! > Un petit coup de apt-get chkrootkit plus tard > je lance la commande: tout est clair jusqu'en fin de log: > ----------------------------------- > Checking `bindshell'... not infected > Checking `lkm'... You have 4 process hidden for ps command > Warning: Possible LKM Trojan installed > Checking `rexedcs'... not found > Checking `sniffer'... Checking `w55808'... not infected > Checking `wted'... nothing deleted > Checking `scalper'... not infected > Checking `slapper'... not infected > Checking `z2'... nothing deleted > ----------------------------------- > AYe Je crois que ca ne fait plus de doute. > Je me lance sur le net: 2 pages plus tard: > je fais un > #cd /usr/sbin > et je lance un: > # ./chkrootkit -x lkm > --------------------------------- > ROOTDIR is `/' > ### > ### Output of: ./chkproc -v -v > ### > PID 3: not in ps output > CWD 3: / > EXE 3: / > PID 4: not in ps output > CWD 4: / > EXE 4: / > PID 5: not in ps output > CWD 5: / > EXE 5: / > PID 6: not in ps output > CWD 6: / > EXE 6: / > You have 4 process hidden for ps command > --------------------------------- > > Bref je crois bien que je suis infecte. > J'ai fait un check sur ma passerelle qui elle est en debian/stable > et tout est en ordre. > Je suis relativement nouveau dans le monde unix gnu/linux > Quelle est la procedure a suivre maintenant pour eradiquer ce mal, > sachant que s'il le faut je peux tres bien et relativement rapidement > sauvegarder quelques fichiers de données et formater ma partition racine. > > Merci de votre aide precieuse (et si possible rapide). > J.C > > P.S: j'ai poste le meme message sur fr.comp.os.linux.moderated >
Attachment:
signature.asc
Description: Ceci est une partie de message =?ISO-8859-1?Q?num=E9riquement?= =?ISO-8859-1?Q?_sign=E9e=2E?=