Re: Re : securite (encore)
Jean-Luc Coulon (f5ibh) a brillamment dit le 28.12.2003 18:40:
Pour celui-là, ça provient du fait que la commande ps reporte le gid du
process au lieu du pid. Il suffit de faire chkrootkit -x lkm pour
avoir des précisions concernant les processus en question. Comme je le
disais dans un précédent message, le dernier paquet procps de sid
semble corriger ce problème.
Voici la sortie de chkrootkit -x lkm:
ROOTDIR is `/'
###
### Output of: ./chkproc -v -v
###
PID 3: not in ps output
CWD 3: /
EXE 3: /
PID 4: not in ps output
CWD 4: /
EXE 4: /
PID 5: not in ps output
CWD 5: /
EXE 5: /
PID 6: not in ps output
CWD 6: /
EXE 6: /
You have 4 process hidden for ps command
Checking `sniffer'...
PROMISC mode detected in one of these interfaces: eth0 ppp0
Le mode est positionné sur une interface lorsqu'on veut en faire une
trace (avec tcpdump ou ethereal par exemple). Si vous avez un sniffer
comme snort vous allez également trouver les interfaces qu'il surveille
en mode promisc. Sinon, il peut s'agir du sniffer ... de quelqu'un
d'autre.
J'utilise portsentry, d'ou sans doute la réponse...
--
=========================================
Nicolas Roudninski
nroudninski@wanadoo.fr
http://www.nicoroud.net
=========================================
vft8mk650
Reply to: