Re: Re : Re : Sécurité (suite) é tait Re:HS [Intrusion, reconstitution] était Re:Quel kernel ?
Jean-Luc Coulon (f5ibh) a écrit, dimanche 28 décembre 2003, à 17:47 :
> Le 28.12.2003 17:26, François Boisson a écrit :
> |On Sun, 28 Dec 2003 13:02:20 +0100
> |"Jean-Luc Coulon (f5ibh)" <jean-luc.coulon@wanadoo.fr> wrote:
> |
> |> Ne fonctionne que sur une machine non chargée.
> |> J4ai fais l'essai avec une compile qui tournait, les processus
> |> correspondant à cc étaient considérés comme cachés (trop courts
> |pour
> |> pouvoir être traités par le script).
> |Ceci devrait être mieux:
> |#!/bin/sh
> |cd /proc
> |for i in `seq 1 65535`
> |do if test -f $i/cmdline ; then
> | if [ -z "`ls | grep $i`" ] ; then
il me semble que c'est erroné :
/proc # ls | grep 42
242
Grep a l'option -w, mais je propose plutôt :
if ! ls "$i" &>/dev/null ; then
> | echo $i "pid caché"
> | cat $i/cmdline
> | echo "\nEnvironnement:\n"
s,echo,echo -e,
> | cat $i/environ
> | echo "\n--------"
idem.
> | fi
> |fi
> |done
> En effet celui-là va mieux ... mais je pense que chkrootkit (chkproc)
> effectue les mêmes vérifications.
>
EEAFALS, bonnes fêtes à tous,
--
Jacques L'helgoualc'h
Reply to: