Re: False positive de chkrootkit ?

To: Georges Roux <georges.roux@pacageek.org>
Cc: debian-user-french@lists.debian.org
Subject: Re: False positive de chkrootkit ?
From: François Boisson <user@maison.homelinux.net>
Date: Sun, 28 Sep 2003 11:30:45 +0000
Message-id: <[🔎] 20030928113045.6ee3a900.user@maison.homelinux.net>
In-reply-to: <[🔎] 3F76A2C9.7010409@pacageek.org>
References: <[🔎] 873ceiz65d.fsf@fermat.localhost> <[🔎] 20030927162619.1bf43cb7.user@maison.homelinux.net> <[🔎] 87eky1yiov.fsf@fermat.localhost> <[🔎] 20030928095936.41fafc6b.user@maison.homelinux.net> <[🔎] 3F76A2C9.7010409@pacageek.org>

Bon, d'après ce que j'ai compris, il y a eu un changement dans la gestion
du mode promiscuous et le flag IFF_PROMISC est devenu "obsolète". Il faut
maintenant utiliser les "packet socket" et les options
PACKET_{ADD,DROP}_MEMBERSHIP. Détails dans
http://marc.theaimsgroup.com/?l=linux-net&m=101359092715675&w=2

Les conséquences sont que tous les logiciels fondés sur l'utilisation du
drapeau IFF_PROMISC obtenus par SIOSGIFFLAGS donnent des réponses
erronées. Bref, chrootkit a effectviement un bug de ce coté. Par contre,
je n'arrive pas à savoir dans le fil cité si il s'agit d'une pbm
transitoire ou définitif.

François Boisson

Reply to:

References:
- False positive de chkrootkit ?
  - From: francois@tourde.org (François TOURDE)
- Re: False positive de chkrootkit ?
  - From: François Boisson <user@maison.homelinux.net>
- Re: False positive de chkrootkit ?
  - From: francois@tourde.org (François TOURDE)
- Re: False positive de chkrootkit ?
  - From: François Boisson <user@maison.homelinux.net>
- Re: False positive de chkrootkit ?
  - From: Georges Roux <georges.roux@pacageek.org>

Prev by Date: Re: False positive de chkrootkit ?
Next by Date: Re: Partage de connection internet
Previous by thread: Re: False positive de chkrootkit ?
Next by thread: Re: False positive de chkrootkit ?
Index(es):
- Date
- Thread