[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: False positive de chkrootkit ?



Finalement, chrootkit ne donne que les interfaces ayant été mises en mode
promiscuous via ioctl. Reste les autres interfaces. Elle peuvent être
trouvée en faisant

# cat /proc/net/packet
puis
# ls -l /proc/*/fd | less
en recherchant les inodes type socket apparaissant dans /proc/net/packet.
Cela correspond aux douilles (sockets) ouvertes en PF_PACKET qui est la
méthode alternative et privilégiée désormais pour faire passer une
interface en mode promiscuous (un compteur interne est géré et compte le
nombre de processus voulant effectivement l'interface dans ce mode là,
cela permet d'éviter qu'un programme coupe le mode promiscuous pour tout
le monde (cas avec ioctl), inconvénient majeur à mes yeux, on ne peut plus
couper un sniffer sans le trouver).

Cela permet de voir les rares processus utilisant un tel type de douilles
dont tous les sniffers.

L'autre remarque est que le noyau ne gère plus qu'à moitié le flag
IFF_PROMISC des interfaces et qu'il n'est pas impossible que celui ci soit
dans un état abérrant. Cela serait ton cas(?)

Voilà, voilà.

François Boisson (qui apprend des choses)

PS: Par contre, je n'ai toujours pas trouvé comment connaitre le nombre de
processus ayant demandé le mode promiscuous d'une interface...





Reply to: