Re: Sécurité (suite) était Re: HS [Intrusion, reconstitution] était Re: Quel kernel ?

To: no-spam@tootai.net
Cc: debian-user-french@lists.debian.org
Subject: Re: Sécurité (suite) était Re: HS [Intrusion, reconstitution] était Re: Quel kernel ?
From: François Boisson <user.anti-spam@maison.homelinux.net>
Date: Sat, 27 Dec 2003 17:31:43 +0100
Message-id: <[🔎] 20031227173143.76d81de7.user.anti-spam@maison.homelinux.net>
In-reply-to: <[🔎] 3FEDA79E.6010502@tootai.net>
References: <[🔎] 200312202118.25011.phil-deb-anti-spam.merlin@laposte.net> <[🔎] 20031221230429.079c90c5.user.anti-spam@maison.homelinux.net> <[🔎] 3FE6DF4F.7040402@tootai.net> <[🔎] 20031226223648.329f895c.user.anti-spam@maison.homelinux.net> <[🔎] 3FEDA79E.6010502@tootai.net>

On Sat, 27 Dec 2003 16:39:10 +0100
daniel huhardeaux <no-spam@tootai.net> wrote:

> Cela ressemble a (trouve dans un thread sur ce probleme sur 
> linuxQuestions.org
> 
> Check where sk is: cd /proc; for i in *; do test -f $i/cmdline && (cat 
> $i/cmdline; echo $i | grep -e "sk"); done This will return the PID for 
> sk, change to that dir and grep environ -e "pwd". This returns the 
> rootkits dir (/usr/share/locale/ro_US ?).
> 4. Uninstall rootkit: cd to that dir, and execute "./sk -u" to
> uninstall.

Sauf que in * le fait parcourir les processus visibles i.e sous /proc,
d'après ce que j'ai compris, SuckIT cache les processus, les repertoire
<pid> ne sont pas visibles sous /proc mais existent quand même d'où mon
idée de forcer la lecture à tous les numéros et pas seulement à ceux qui
sont sous /proc.

Merci de tes idées, je vais lire ta doc. Je pense infecter une machine
pour voir si ce que j'ai dit marche. Si c'est le cas, il est facile de
faire un pgm cherchant systématiquement de tels processus cachés.

Je te tiens au courant

François Boisson

Reply to:

References:
- Quel kernel ?
  - From: Philippe Merlin <phil-deb-anti-spam.merlin@laposte.net>
- Re: Quel kernel ?
  - From: François Boisson <user.anti-spam@maison.homelinux.net>
- Re: Quel kernel ?
  - From: daniel huhardeaux <no-spam@tootai.net>
- HS [Intrusion, reconstitution] était Re: Quel kernel ?
  - From: François Boisson <user.anti-spam@maison.homelinux.net>
- Sécurité (suite) était Re: HS [Intrusion, reconstitution] était Re: Quel kernel ?
  - From: daniel huhardeaux <no-spam@tootai.net>

Prev by Date: Re: Sécurité (suite) était Re: HS [Intrusion, reconstitution] était Re:Quel kernel ?
Next by Date: Re: pb de spam
Previous by thread: Re: Sécurité (suite) étai t Re:HS [Intrusion, reconstitution] était Re:Quel kernel ?
Next by thread: Re: Sécurité (suite) était Re: HS [Intrusion, reconstitution] était Re:Quel kernel ?
Index(es):
- Date
- Thread