[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: False positive de chkrootkit ?



Je ne comprends pas, je viens de regarder le code de ifpromisc et y ai
rajouté un paquet de renseignements suplémentaires pour voir si les
drapeaux sont bien récupérés, regarde le type de sortie que j'ai:

eth0 is up
eth0 is type eth
eth0 is avec ARP
eth0 is  running
eth0 has  un broadcast valide
eth0 is not promisc
ppp0 is up
ppp0 is type PPP
ppp0 is sans ARP
ppp0 is  running
ppp0 has not un broadcast valide
ppp0 is not promisc

Tout est correct excepté le mode promiscuous qui ne bouge jamais qque soit
l'état de eth0. Si ma mémoire est bonne, le mode promiscuous indique au
noyau de ne plus filtrer les paquets en fonction du destinataire et n'est
pas spécifique d'une "socket" (eth0 ne peut pas être vu en mode
promiscuous d'un coté et normal de l'autre). Je ne comprends pas mais
visiblement, le flag testé dans le chkrootkit pour voir si une interface
est en mode promiscuous ne fonctionne pas chez moi.

J'ai donc testé chkrootkit en faisant un brave tcpdump sur une autre
console et:...
Checking `rexedcs'... not found
Checking `sniffer'... 
eth0 is not promisc
ppp0 is not promisc
Checking `wted'... nothing deleted
Checking `w55808'... not infected
...

Bon, je pense pouvoir dire que la détection du mode promiscuous dans le
chkrootkit ne fonctionne pas (sur un noyau 2.2 comme 2.4). Voilà, voilà...

François Boisson

On Sun, 28 Sep 2003 00:23:28 +0200
francois@tourde.org (François TOURDE) wrote:

> Le 12322ième jour après Epoch,
> François Boisson écrivait:
> 
> > On Sat, 27 Sep 2003 15:56:46 +0200
> > francois@tourde.org (François TOURDE) wrote:
> >
> >> Salut à tous...
> >> 
> >> Depuis mon dernier upgrade, j'ai un false positive (enfin j'espère)
> >> de chkrootkit qui dit:
> >> 
> >> # chkrootkit sniffer
> >> ROOTDIR is `/'
> >> Checking `sniffer'... 
> >> PROMISC mode detected in one of these interfaces: tunl0 eth0 eth1
> >> ppp0
> >
> > Cela signifie qu'il y a une des interfaces qui est en mode
> > promiscuous:...
> Euh... Pardon... Je précise:
> 
> - Je sais ce que signifie promiscuous
> - J'ai pas fait de tcpdump ni de ethereal
> - J'ai stoppé mes serveurs dhcp/snmp/samba pour faire le test
> 
> Voilà...
> 
> -- 
> Our missions are peaceful -- not for conquest.  When we do battle, it
> is only because we have no choice.
> 		-- Kirk, "The Squire of Gothos", stardate 2124.5
> 
> 
> -- 
> Pensez à lire la FAQ de la liste avant de poser une question :
> http://savannah.nongnu.org/download/debfr-faq/html/
> 
> To UNSUBSCRIBE, email to debian-user-french-request@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact
> listmaster@lists.debian.org
> 



Reply to: