Re: Re : securite (encore)

[Nicolas Roudninski <nroudninski@wanadoo.fr>]

Jean-Luc Coulon (f5ibh) a brillamment dit le 28.12.2003 18:40:

> Pour celui-là, ça provient du fait que la commande ps reporte le gid  du 
> process au lieu du pid. Il suffit de faire chkrootkit -x lkm  pour  
> avoir des précisions concernant les processus en question. Comme je  le 
> disais dans un précédent message, le dernier paquet procps de sid  
> semble corriger ce problème.

Voici la sortie de chkrootkit -x lkm:
ROOTDIR is `/'
###
### Output of: ./chkproc -v -v
###
PID     3: not in ps output
CWD     3: /
EXE     3: /
PID     4: not in ps output
CWD     4: /
EXE     4: /
PID     5: not in ps output
CWD     5: /
EXE     5: /
PID     6: not in ps output
CWD     6: /
EXE     6: /
You have     4 process hidden for ps command


> > Checking `sniffer'...
> > PROMISC mode detected in one of these interfaces: eth0 ppp0
>
> Le mode est positionné sur une interface lorsqu'on veut en faire une  
> trace (avec tcpdump ou ethereal par exemple). Si vous avez un sniffer  
> comme snort vous allez également trouver les interfaces qu'il  surveille 
> en mode promisc. Sinon, il peut s'agir du sniffer ... de  quelqu'un 
> d'autre.

J'utilise portsentry, d'ou sans doute la réponse...


--
=========================================
Nicolas Roudninski
nroudninski@wanadoo.fr

http://www.nicoroud.net
=========================================
vft8mk650