[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: False positive de chkrootkit ?



> Euh... Pardon... Je précise:
> 
> - Je sais ce que signifie promiscuous
> - J'ai pas fait de tcpdump ni de ethereal
> - J'ai stoppé mes serveurs dhcp/snmp/samba pour faire le test
> 

Désolé, j'ai hésité à poster le message (pour cette raison) mais ça
pouvait ne pas être le cas. J'espère ne pas avoir vexé (par contre je
n'allais pas jusqu'à supposer que tcpdump et etherreal étaient lancés,
c'étaient des exemples) Plusieurs questions:

1) Si tu as arrêté le serveur, est ce que l'interface se met dans ce mode
lors d'un boot en single?

2) A priori, c'est une fonctionnalité du noyau et il doit être dur de
forcer ce mode sans un message dans le log. Il n'y a rien sur ça?

Tu peux compiler directement le fichier ifpromisc.c, il te permet d'avoir
plus de précision sur qui est en mode promiscuous et qui ne l'est pas.
Eventuellement, exécute le après chaque script de démarrage (en
intercalant un lien dans /etc/rc2.d avec un numéro adéquat. Tu sauras si
c'est fait au noyau (auquel cas c'est un pbm de carte) ou si c'est le fait
d'un fichier éxécuté à ton insu.

Voilà, j'espère plus aider comme ça. Si tu veux ifpromisc compilé pour un
2.4 en statique, tu peux l'avoir ici: http://boisson.homeip.net/ifpromisc

Bon courage



Reply to: