Re: des doutes après un chkrootkit
On 2 May 2003, Lionel Bargeot wrote:
> Bonjour,
>
> j'ai été très étonné de ne plus pouvoir me loguer sur ma passerelle
> aujourd'hui avec le compte root. Le mot de passe ne fonctionnait plus et
> je ne pensais pas l'avoir changé.
> Après avoir booté sur un CD rescue et remis les choses en ordre, j'ai
> fait un chkrootkit et voici les infos qui en ressortent :
>
> *Checking `lkm'... You have 1 process hidden for readdir command
> You have 1 process hidden for ps command
> Warning: Possible LKM Trojan installed
Bien, le plus simple de te dire est que ta passerelle est piratee. Un
pirate a reussi a entrer dans ton systeme, et a installer un LKM (Loadable
Kernel Module).
Ce module est fort simple, mais terriblemetn effiace: il permet de cacher
un certain nombre de programmes, quelques fichiers, de donner un acces
privilegie suite a une commande tres specifique, ainsi que d'autres
choses.
J'aimerais bien que tu me dises c'est quio la configuration de ton systeme
(version de debian, est-il mis a jour, version du kernel, etc...).
Idealement, ca serait que tu fasses du "forensic analysis", et que tu
puisses nous dire comment il a pu reussir a entrer sur ta passerelle :-)
>
> Quelqu'un pourrait-il m'éclaircir sur la signification de ceci ? bref
> est-ce grave docteur ? Le programme de vérification est-il un peu
> tatillon ?
>
> Merci
>
> Lionel
E.
--
Eric LeBlanc
inouk@igt.net
--------------------------------------------------
UNIX is user friendly.
It's just selective about who its friends are.
==================================================
Reply to: