Re: sniff & chkrootkit...
On Tue, 1 Jun 2004 15:23:20 +0000 (UTC)
fred <fredantispam@free.fr> wrote:
> bonjour,
>
> Par curiosité, j'ai « sniffé » mon portable via eth0 en même temps
> qu'était lancé chkrootkit sur le dit portable.
>
> Or, d'une part, le sniff me répond que le mode « promiscuous » est
> activé(ce terme de promiscuous est assez... flou pour moi, dans ce cas).
>
> Et d'autre part, chkrootkit sur le portable ne détecte aucun sniff sur
> eth0.
>
> De quoi est-ce donc ?
> Aurais-je loupé quelque chose ?
>
Non, le mode promiscuous indique que la carte ethernet capture toutes les
trames Ethernet et âs seulement celle en réseau. Quant à chkrootkit, je
m'en méfie beaucoup pour deux choses:
1) Il ne détecte pas tous les modes promiscuous (du moins jusqu'en
Janvier). Le seul test vraiment sur que j'ai trouvé et la commande "ip
link". Cela est du à une deuxième méthode pour mettre les interfaces en
mode promiscuous.
2) La deuxième est que en situation, il ne m'a servi à rien.
Fin décembre, suite à une négligence de ma part (serveur wu-ftpd non à
jour), et en utilisant une faille du noyau (que j'étais en train de
recompiler), un rootkit a été installé sur ma machine à l'insu de
chrootkit (SuckIT en l'occurrence). Du coup j'ai développé un script puis
un petit programme en Caml qui détecte les processus cachés et indique le
répertoire d'exécution (même caché), le pid et la ligne de commande. Ce
programme correspond au paquet "cacheproc" et se trouve sur
deb ftp://boisson.homeip.net/woody/ ./
source:
deb-src ftp://boisson.homeip.net/source ./
Je l'ai intégré dans crontab et suis averti par mail en cas de processus
caché. Il peut y avoir de rares fausses alertes pour un processus fugitif
(3 fois en 5 mois)
François Boisson
Reply to: