[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Sécurité (suite) était Re: HS [Intrusion, reconstitution] était Re:Quel kernel ?



Loick.B wrote:

Le Samedi 27 Décembre 2003 16:39, daniel huhardeaux a écrit :
Check where sk is: cd /proc; for i in *; do test -f $i/cmdline && (cat
$i/cmdline; echo $i | grep -e "sk"); done This will return the PID for
sk,
Ok, si j'execute:
# cd /proc;for i in *;do test -f $i/cmdline && (cat $i/cmdline; echo $i | \
grep -e "sk");done
j'obtiens:
/usr/sbin/sshd
/sbin/syslogd
/sbin/klogd
-bash
bash
/usr/sbin/inetd
/bin/sh/usr/bin/safe_mysqld
/usr/local/bin/spamd -c -m 10 -d --pidfile=/var/run/spamd.pid
stunnel-d995-r110
stunnel-d993-r143
stunnel-d3307-rlocalhost:3306
/usr/sbin/ntpd
/usr/sbin/cron
/usr/sbin/apache
/usr/sbin/apache-ssl
/sbin/getty38400tty2
/sbin/getty38400tty3
/sbin/getty38400tty4
/sbin/getty38400tty5
/sbin/getty38400tty6
/usr/sbin/pppdcalldsl-provider
/usr/sbin/pppoe-Ieth0-T80-m1452
/sbin/getty38400tty1
stunnel-d3307-rlocalhost:3306
catself/cmdline

change to that dir and grep environ -e "pwd".
Je prends la première ligne et je vais dans /usr/sbin.
qu'est-ce que je fais maintenant?
grep ??? -e "pwd"*
grep -e environ "pwd" Si vous n'etes pas infecte (grep sk) ne retourne rien. Le plus simple est d'installer chkrootkit pour tester votre environnement. Si vous etes infecte, la premiere des choses est de vous deconnecter de tout reseau avec cette machine.

La commande devrait me retourner le path vers le rootkit.
Il suffit de le désinstaller ensuite avec "./sk -u".
Ca me parrait un peu simpliste non?
Voir en bas de message

Merci de m'indiquer une méthodologie.
Si j'en crois le message précédent, 80 % de mes processus seraient infectés!!!

Non, parcequ'il ne s'agit pas des pids de sk. Installez chkrootkit et testez votre machine

Merci d'avance.

Voici l'article en entier. Si vous avez lu le lien fourni avec le message d'origine, vous comprendriez qu'effectivement il ne s'agit pas *que* de désinstaller sk. Ceci est egalement rappele dans le message ci dessous. Les liens fournis en fin de message sont egalement tres interessant.

http://www.linuxquestions.org/questions/history/35743

Salutations

--
:  ______ ______ ______ ______ ______ __  daniel.huhardeaux@tootai.com
: /_____// __  // __  //_____// __  // / phone.: +48 32 285 5276
:  / /  / /_/ // /_/ /  / /  / /_/ // / fax....: +48 32 285 5276
: /_/  /_____//_____/  /_/  /_/ /_//_/ mobile..: +48 602 284 546




Reply to: