Re: Sécurité (suite) était Re: HS [Intrusion, reconstitution] était Re:Quel kernel ?

To: loick.b.nospam@waipro.com
Cc: Debian Users French <debian-user-french@lists.debian.org>
Subject: Re: Sécurité (suite) était Re: HS [Intrusion, reconstitution] était Re:Quel kernel ?
From: daniel huhardeaux <no-spam@tootai.net>
Date: Sat, 27 Dec 2003 18:41:24 +0100
Message-id: <[🔎] 3FEDC444.2070604@tootai.net>
Reply-to: no-spam@tootai.net
In-reply-to: <200312271805.50563.loick.b.nospam@waipro.com>
References: <[🔎] 200312202118.25011.phil-deb-anti-spam.merlin@laposte.net> <[🔎] 20031226223648.329f895c.user.anti-spam@maison.homelinux.net> <[🔎] 3FEDA79E.6010502@tootai.net> <200312271805.50563.loick.b.nospam@waipro.com>

Loick.B wrote:

Le Samedi 27 Décembre 2003 16:39, daniel huhardeaux a écrit :

Check where sk is: cd /proc; for i in *; do test -f $i/cmdline && (cat
$i/cmdline; echo $i | grep -e "sk"); done This will return the PID for

sk,

Ok, si j'execute:
# cd /proc;for i in *;do test -f $i/cmdline && (cat $i/cmdline; echo $i | \
grep -e "sk");done
j'obtiens:
/usr/sbin/sshd
/sbin/syslogd
/sbin/klogd
-bash
bash
/usr/sbin/inetd
/bin/sh/usr/bin/safe_mysqld
/usr/local/bin/spamd -c -m 10 -d --pidfile=/var/run/spamd.pid
stunnel-d995-r110
stunnel-d993-r143
stunnel-d3307-rlocalhost:3306
/usr/sbin/ntpd
/usr/sbin/cron
/usr/sbin/apache
/usr/sbin/apache-ssl
/sbin/getty38400tty2
/sbin/getty38400tty3
/sbin/getty38400tty4
/sbin/getty38400tty5
/sbin/getty38400tty6
/usr/sbin/pppdcalldsl-provider
/usr/sbin/pppoe-Ieth0-T80-m1452
/sbin/getty38400tty1
stunnel-d3307-rlocalhost:3306
catself/cmdline

change to that dir and grep environ -e "pwd".

Je prends la première ligne et je vais dans /usr/sbin.
qu'est-ce que je fais maintenant?
grep ??? -e "pwd"*

grep -e environ "pwd" Si vous n'etes pas infecte (grep sk) ne retournerien. Le plus simple est d'installer chkrootkit pour tester votreenvironnement. Si vous etes infecte, la premiere des choses est de vousdeconnecter de tout reseau avec cette machine.

La commande devrait me retourner le path vers le rootkit.
Il suffit de le désinstaller ensuite avec "./sk -u".
Ca me parrait un peu simpliste non?

Voir en bas de message

Merci de m'indiquer une méthodologie.
Si j'en crois le message précédent, 80 % de mes processus seraient infectés!!!

Non, parcequ'il ne s'agit pas des pids de sk. Installez chkrootkit ettestez votre machine

Merci d'avance.

Voici l'article en entier. Si vous avez lu le lien fourni avec lemessage d'origine, vous comprendriez qu'effectivement il ne s'agit pas*que* de désinstaller sk. Ceci est egalement rappele dans le message cidessous. Les liens fournis en fin de message sont egalement tresinteressant.


http://www.linuxquestions.org/questions/history/35743

Salutations

--
:  ______ ______ ______ ______ ______ __  daniel.huhardeaux@tootai.com
: /_____// __  // __  //_____// __  // / phone.: +48 32 285 5276
:  / /  / /_/ // /_/ /  / /  / /_/ // / fax....: +48 32 285 5276
: /_/  /_____//_____/  /_/  /_/ /_//_/ mobile..: +48 602 284 546

Reply to:

Follow-Ups:
- Re: Sécurité (suite) était Re:HS [Intrusion, reconstitution] était Re:Quel kernel ?
  - From: "Loick.B" <loick.b.nospam@waipro.com>

References:
- Quel kernel ?
  - From: Philippe Merlin <phil-deb-anti-spam.merlin@laposte.net>
- HS [Intrusion, reconstitution] était Re: Quel kernel ?
  - From: François Boisson <user.anti-spam@maison.homelinux.net>
- Sécurité (suite) était Re: HS [Intrusion, reconstitution] était Re: Quel kernel ?
  - From: daniel huhardeaux <no-spam@tootai.net>

Prev by Date: Re: Fenetr d'appli trop longues
Next by Date: Re: Sécurité (suite) était Re: HS [Intrusion, reconstitution] était Re: Quel kernel ?
Previous by thread: Sécurité (suite) était Re: HS [Intrusion, reconstitution] était Re: Quel kernel ?
Next by thread: Re: Sécurité (suite) était Re:HS [Intrusion, reconstitution] était Re:Quel kernel ?
Index(es):
- Date
- Thread