[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: False positive de chkrootkit ?

Le 12323ième jour après Epoch,
François Boisson écrivait:

>> Euh... Pardon... Je précise:
>> 
>> - Je sais ce que signifie promiscuous
>> - J'ai pas fait de tcpdump ni de ethereal
>> - J'ai stoppé mes serveurs dhcp/snmp/samba pour faire le test
>> 
>
> Désolé, j'ai hésité à poster le message (pour cette raison) mais ça
> pouvait ne pas être le cas. J'espère ne pas avoir vexé (par contre je
> n'allais pas jusqu'à supposer que tcpdump et etherreal étaient lancés,
> c'étaient des exemples) Plusieurs questions:

Pas de problème. Si on devait être vexé à chaque message, on n'irait pas
très loin :)...

Ça prouve simplement que pour poser une question, il faut être très très
précis ...

> 1) Si tu as arrêté le serveur, est ce que l'interface se met dans ce mode
> lors d'un boot en single?

Pas essayé, mais je vais le faire.

> 2) A priori, c'est une fonctionnalité du noyau et il doit être dur de
> forcer ce mode sans un message dans le log. Il n'y a rien sur ça?

Ben non. Pas de trace de ça. Mais le bug que j'ai cité en référence fait
justement référence à un passage en mode promiscuous bizarre.

> Tu peux compiler directement le fichier ifpromisc.c, il te permet d'avoir
> plus de précision sur qui est en mode promiscuous et qui ne l'est pas.
> Eventuellement, exécute le après chaque script de démarrage (en
> intercalant un lien dans /etc/rc2.d avec un numéro adéquat. Tu sauras si
> c'est fait au noyau (auquel cas c'est un pbm de carte) ou si c'est le fait
> d'un fichier éxécuté à ton insu.

Oui, effectivement. A essayer. Par contre, en mode x (expert), ifpromisc me
cite les interfaces un par un en signalant "not promisc", et termine par un
gentil: "One of the interface is promisc: eth0 eth1 ...."


-- 
In this world, truth can wait; she's used to it.
Reply to: