Re: des doutes après un chkrootkit

To: debian-user-french@lists.debian.org
Subject: Re: des doutes après un chkrootkit
From: Eric LeBlanc <inouk@igt.net>
Date: Fri, 2 May 2003 13:26:29 -0400 (EDT)
Message-id: <[🔎] Pine.LNX.4.44.0305021319500.19630-100000@toutatis.igt.net>
In-reply-to: <[🔎] 1051895776.573.24.camel@hades.dagami.org>


> Pas nécessairement. C'est dit dans toutes les docs sur le sujet.
> Ceci peut arriver quand le nombre de process traités est important et
> que ceux-ci ne durent pas longtemps. Cas typique des serveurs web.
> Le même test sur "lkm" donne généralement un résultat négatif quelques
> secondes plus tard puis redevient positif.
> C'est en gros une comparaison entre /proc et un "ps". Entre les deux le
> process peut disparaitre.
>
> Il se peut aussi que ce soit un rootkit.
> Il vaut mieux ne pas être trop parano sur ce sujet et vérifier plus
> profondément.
>
> ps : c'est pour ça que l'utilisation des modules n'est pas la meilleure
> solution. Il vaut mieux parfois un kernel sur mesure.
>

Tu as raison, ce n'est pas un outli efficace et fiable a 100%, mais si on
regarde le  premier post qui dit que le password ddu root qui a ete
change, il y a lieu de se poser de serieuses questions.

Ensuite, comme j'ai dit dans mon post, fais une analyse plus poussee... et
tu auras probablement reponse a tes questions.

P.S: meme un kernel sur mesure, on peut inserer des "modules" (voir les
"") via kmem ;-p

E.

Reply to:

References:
- Re: des doutes après un chkrootkit
  - From: nb <nb@dagami.org>

Prev by Date: connerie sur connerie II
Next by Date: Installation debian sur mac, partition
Previous by thread: Re: des doutes après un chkrootkit
Next by thread: interet initrd
Index(es):
- Date
- Thread