[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: des doutes après un chkrootkit



Le ven 02/05/2003 à 18:53, Eric LeBlanc a écrit :
> On 2 May 2003, Lionel Bargeot wrote:
> 

> > j'ai été très étonné de ne plus pouvoir me loguer sur ma passerelle
> > aujourd'hui avec le compte root. Le mot de passe ne fonctionnait plus et
> > je ne pensais pas l'avoir changé.
> > Après avoir booté sur un CD rescue et remis les choses en ordre, j'ai
> > fait un chkrootkit et voici les infos qui en ressortent :
> >
> > *Checking `lkm'... You have     1 process hidden for readdir command
> > You have     1 process hidden for ps command
> > Warning: Possible LKM Trojan installed
> 
> Bien, le plus simple de te dire est que ta passerelle est piratee.  Un
> pirate a reussi a entrer dans ton systeme, et a installer un LKM (Loadable
> Kernel Module).
> 
> Ce module est fort simple, mais terriblemetn effiace: il permet de cacher
> un certain nombre de programmes, quelques fichiers, de donner un acces
> privilegie suite a une commande tres specifique, ainsi que d'autres
> choses.
> 
Pas nécessairement. C'est dit dans toutes les docs sur le sujet.
Ceci peut arriver quand le nombre de process traités est important et
que ceux-ci ne durent pas longtemps. Cas typique des serveurs web.
Le même test sur "lkm" donne généralement un résultat négatif quelques
secondes plus tard puis redevient positif.
C'est en gros une comparaison entre /proc et un "ps". Entre les deux le
process peut disparaitre.

Il se peut aussi que ce soit un rootkit.
Il vaut mieux ne pas être trop parano sur ce sujet et vérifier plus
profondément.

ps : c'est pour ça que l'utilisation des modules n'est pas la meilleure
solution. Il vaut mieux parfois un kernel sur mesure.

A+
-- 
nb <nb@dagami.org>



Reply to: