Re: Sécurité (suite) était Re: HS [Intrusion, reconstitution] était Re:Quel kernel ?
On Sat, 27 Dec 2003 18:31:19 +0100
"Loick.B" <loick.b.nospam@waipro.com> wrote:
> Le Samedi 27 Décembre 2003 16:39, daniel huhardeaux a écrit :
> > Check where sk is: cd /proc; for i in *; do test -f $i/cmdline && (cat
> > $i/cmdline; echo $i | grep -e "sk"); done This will return the PID for
> > sk,
> Ok, si j'execute:
> # cd /proc;for i in *;do test -f $i/cmdline && (cat $i/cmdline; echo $i
> | \ grep -e "sk");done
>
>
Non, l'idée est justement les "i" qui ne sont pas affichés (donc les
processus cachés): en faisant
for i in `seq 1 65535`
do test -f $i/cmdline && echo $i "pid existant"; done
On trouve tous les processus existant y compris ceux cachés (à mon avis),
d'après ce que j'ai compris dans le principe de caher les processus, on
masque leur apparition dans /proc mais pour qu'ils tourner, l'entrée
existe quand même. D'où l'idée de parcourir tous les entiers entre 1 et
65536. Il faut ensuite comparer la liste des pid obtenus et celle listée
dans /proc pour avoir les processus cachés potentiels. Il 'y a un peu de
travail quand même. Si j'ai le temps je vais automatiser cela.
François Boisson
Reply to: