Loick.B wrote:
grep -e environ "pwd" Si vous n'etes pas infecte (grep sk) ne retourne rien. Le plus simple est d'installer chkrootkit pour tester votre environnement. Si vous etes infecte, la premiere des choses est de vous deconnecter de tout reseau avec cette machine.Le Samedi 27 Décembre 2003 16:39, daniel huhardeaux a écrit :Check where sk is: cd /proc; for i in *; do test -f $i/cmdline && (cat $i/cmdline; echo $i | grep -e "sk"); done This will return the PID forsk,Ok, si j'execute: # cd /proc;for i in *;do test -f $i/cmdline && (cat $i/cmdline; echo $i | \ grep -e "sk");done j'obtiens: /usr/sbin/sshd /sbin/syslogd /sbin/klogd -bash bash /usr/sbin/inetd /bin/sh/usr/bin/safe_mysqld /usr/local/bin/spamd -c -m 10 -d --pidfile=/var/run/spamd.pid stunnel-d995-r110 stunnel-d993-r143 stunnel-d3307-rlocalhost:3306 /usr/sbin/ntpd /usr/sbin/cron /usr/sbin/apache /usr/sbin/apache-ssl /sbin/getty38400tty2 /sbin/getty38400tty3 /sbin/getty38400tty4 /sbin/getty38400tty5 /sbin/getty38400tty6 /usr/sbin/pppdcalldsl-provider /usr/sbin/pppoe-Ieth0-T80-m1452 /sbin/getty38400tty1 stunnel-d3307-rlocalhost:3306 catself/cmdlinechange to that dir and grep environ -e "pwd".Je prends la première ligne et je vais dans /usr/sbin. qu'est-ce que je fais maintenant? grep ??? -e "pwd"*
La commande devrait me retourner le path vers le rootkit. Il suffit de le désinstaller ensuite avec "./sk -u". Ca me parrait un peu simpliste non?
Voir en bas de message
Non, parcequ'il ne s'agit pas des pids de sk. Installez chkrootkit et testez votre machineMerci de m'indiquer une méthodologie. Si j'en crois le message précédent, 80 % de mes processus seraient infectés!!!
Voici l'article en entier. Si vous avez lu le lien fourni avec le message d'origine, vous comprendriez qu'effectivement il ne s'agit pas *que* de désinstaller sk. Ceci est egalement rappele dans le message ci dessous. Les liens fournis en fin de message sont egalement tres interessant.Merci d'avance.
http://www.linuxquestions.org/questions/history/35743 Salutations -- : ______ ______ ______ ______ ______ __ daniel.huhardeaux@tootai.com : /_____// __ // __ //_____// __ // / phone.: +48 32 285 5276 : / / / /_/ // /_/ / / / / /_/ // / fax....: +48 32 285 5276 : /_/ /_____//_____/ /_/ /_/ /_//_/ mobile..: +48 602 284 546