Re: sniff & chkrootkit...

To: debian-user-french@lists.debian.org
Subject: Re: sniff & chkrootkit...
From: fred <fredantispam@free.fr>
Date: Wed, 2 Jun 2004 08:45:35 +0000 (UTC)
Message-id: <[🔎] loom.20040602T103953-323@post.gmane.org>
References: <[🔎] loom.20040601T171759-344@post.gmane.org> <[🔎] 20040601205148.2f1c2ac2.user.anti-spam@maison.homelinux.net>

François Boisson <user.anti-spam <at> maison.homelinux.net> writes:

> chrootkit (SuckIT en l'occurrence). Du coup j'ai développé un script puis
> un petit programme en Caml qui détecte les processus cachés et indique le
> répertoire d'exécution (même caché), le pid et la ligne de commande. Ce
> programme correspond au paquet "cacheproc" et se trouve sur
> deb ftp://boisson.homeip.net/woody/ ./

Merci à tous pour vos réponses.

Cependant, 2 petites remarques :
1) sniffit lancé la babasse locale ne se fait pas non plus détecter
par chkrootkit.

2) Justement, à propos de lui, il me détecte des processus cachés lorsqu'il 
check lkm :

Checking `lkm'... You have     5 process hidden for readdir command
You have     5 process hidden for ps command
Warning: Possible LKM Trojan installed

Le chercheprocess de François ne détecte rien, lui.

C'est quoi lkm ? locate ou apropos ne donne rien à ce sujet.
Et qu'est qu'on fait en général lorsque l'on obtient ce genre de message ?
Il semblerait que chkrootkit me détecte ce trojan que lorsque je me connecte.
Avant la connex, tout est clean.

Une idée ?

Merci.

Reply to:

Follow-Ups:
- Re: sniff & chkrootkit...
  - From: "Jean-Luc Coulon (f5ibh)" <jean-luc.coulon@wanadoo.fr>

References:
- sniff & chkrootkit...
  - From: fred <fredantispam@free.fr>
- Re: sniff & chkrootkit...
  - From: François Boisson <user.anti-spam@maison.homelinux.net>

Prev by Date: Re: vsftpd, ip dynamique, routeur et mode passif
Next by Date: Re: sniff & chkrootkit...
Previous by thread: Re: sniff & chkrootkit...
Next by thread: Re: sniff & chkrootkit...
Index(es):
- Date
- Thread