Re: Sécurité (suite) était Re: HS [Intrusion, reconstitution] était Re:Quel kernel ?
Le Samedi 27 Décembre 2003 16:39, daniel huhardeaux a écrit :
> Check where sk is: cd /proc; for i in *; do test -f $i/cmdline && (cat
> $i/cmdline; echo $i | grep -e "sk"); done This will return the PID for
> sk,
Ok, si j'execute:
# cd /proc;for i in *;do test -f $i/cmdline && (cat $i/cmdline; echo $i | \
grep -e "sk");done
j'obtiens:
/usr/sbin/sshd
/sbin/syslogd
/sbin/klogd
-bash
bash
/usr/sbin/inetd
/bin/sh/usr/bin/safe_mysqld
/usr/local/bin/spamd -c -m 10 -d --pidfile=/var/run/spamd.pid
stunnel-d995-r110
stunnel-d993-r143
stunnel-d3307-rlocalhost:3306
/usr/sbin/ntpd
/usr/sbin/cron
/usr/sbin/apache
/usr/sbin/apache-ssl
/sbin/getty38400tty2
/sbin/getty38400tty3
/sbin/getty38400tty4
/sbin/getty38400tty5
/sbin/getty38400tty6
/usr/sbin/pppdcalldsl-provider
/usr/sbin/pppoe-Ieth0-T80-m1452
/sbin/getty38400tty1
stunnel-d3307-rlocalhost:3306
catself/cmdline
> change to that dir and grep environ -e "pwd".
Je prends la première ligne et je vais dans /usr/sbin.
qu'est-ce que je fais maintenant?
grep ??? -e "pwd"
La commande devrait me retourner le path vers le rootkit.
Il suffit de le désinstaller ensuite avec "./sk -u".
Ca me parrait un peu simpliste non?
Merci de m'indiquer une méthodologie.
Si j'en crois le message précédent, 80 % de mes processus seraient infectés!!!
Merci d'avance.
--
Loick.B
Reply to: