[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: False positive de chkrootkit ?



On Sat, 27 Sep 2003 15:56:46 +0200
francois@tourde.org (François TOURDE) wrote:

> Salut à tous...
> 
> Depuis mon dernier upgrade, j'ai un false positive (enfin j'espère) de
> chkrootkit qui dit:
> 
> # chkrootkit sniffer
> ROOTDIR is `/'
> Checking `sniffer'... 
> PROMISC mode detected in one of these interfaces: tunl0 eth0 eth1 ppp0

Cela signifie qu'il y a une des interfaces qui est en mode promiscuous:
Exemple, si tu lances tcpdump en tant que root, tu as un programme qui
s'intéresse à tous les paquets reçus/emis par l'interface (mettons eth0),
celle ci, pour pouvoir le faire doit être dans un mode particulier lui
permettant de faire effectivement cela. En général, ce mode signifie que
quelque chose écoute sur ton interface. Ce quelque chose doit avoir les
droits "root" pour le faire. A noter que c'est indépendant d'une upgrade
particulière. Regarde dans le syslog si il n'y a pas une ligne du genre

device ??? entered promiscuous mode

Regardes l'heure et essayes de voir si il n'y aurait pas un processus
lancé à ce moment (tcpdump, ethereal, ...)

François Boisson
> 
> Du coup, j'ai un peu peur. Google et BTS ne sont pas très clairs sur ce
> coup-là, et j'ai pas bien compris si le bug #202198 pouvait faire ce
> genre d'erreur.
> 
> Qu'est-ce qui peut déclencher ce genre de positive, et comment vérifier
> que tout va bien ou mal ?
> 
> Suis en sarge, avec chkrootkit en 0.42-2, et j'ai peur :)
> -- 
> sillema sillema nika su
> 
> 
> -- 
> Pensez à lire la FAQ de la liste avant de poser une question :
> http://savannah.nongnu.org/download/debfr-faq/html/
> 
> To UNSUBSCRIBE, email to debian-user-french-request@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact
> listmaster@lists.debian.org
> 



Reply to: