Re : Re : securite (encore)

To: debian-user-french@lists.debian.org
Subject: Re : Re : securite (encore)
From: "Jean-Luc Coulon (f5ibh)" <jean-luc.coulon@wanadoo.fr>
Date: Sun, 28 Dec 2003 20:47:35 +0100
Message-id: <[🔎] 20031228194735.GU1533@tangerine.coulon.evette>
In-reply-to: <[🔎] 3FEF1943.1000006@wanadoo.fr> (from nroudninski@wanadoo.fr on dim, d�c 28, 2003 at 18:56:19 +0100)
References: <[🔎] 3FEF127B.3050407@free.fr> <[🔎] 20031228174015.GM1533@tangerine.coulon.evette> <[🔎] 3FEF1943.1000006@wanadoo.fr>

Le 28.12.2003 18:56, Nicolas Roudninski a écrit :

Jean-Luc Coulon (f5ibh) a brillamment dit le 28.12.2003 18:40:
Pour celui-là, ça provient du fait que la commande ps reporte legid du process au lieu du pid. Il suffit de faire chkrootkit -xlkm pour avoir des précisions concernant les processus enquestion. Comme je le disais dans un précédent message, ledernier paquet procps de sid semble corriger ce problème.
Voici la sortie de chkrootkit -x lkm:
ROOTDIR is `/'
###
### Output of: ./chkproc -v -v
###
PID     3: not in ps output
CWD     3: /
EXE     3: /
PID     4: not in ps output
CWD     4: /
EXE     4: /
PID     5: not in ps output
CWD     5: /
EXE     5: /
PID     6: not in ps output
CWD     6: /
EXE     6: /
You have     4 process hidden for ps command

Jetez un oeil sur les premiers processus, vous devriez trouver:
   3 ?        SWN    0:00 [ksoftirqd_CPU0]
   4 ?        SW     0:46 [kswapd]
   5 ?        SW     0:00 [bdflush]
   6 ?        SW     0:00 [kupdated]

cat /proc/3/stat vous donnera par exemple :
[root@tangerine] /proc/3 # cat stat

3 (ksoftirqd_CPU0) S 1 1 1 0 -1 64 0 0 0 0 0 8 0 0 19 19 0 0 42 0 04294967295 0 0 0 0 0 0 2147483647 0 0 3222395308 0 0 0 0

Checking `sniffer'...
PROMISC mode detected in one of these interfaces: eth0 ppp0
Le mode est positionné sur une interface lorsqu'on veut en faireune trace (avec tcpdump ou ethereal par exemple). Si vous avez unsniffer comme snort vous allez également trouver les interfacesqu'il surveille en mode promisc. Sinon, il peut s'agir du sniffer ...de quelqu'un d'autre.
J'utilise portsentry, d'ou sans doute la réponse...

Oui, sans doute.

--
=========================================
Nicolas Roudninski
nroudninski@wanadoo.fr

http://www.nicoroud.net
=========================================
vft8mk650


--
Pensez à lire la FAQ de la liste avant de poser une question :
http://savannah.nongnu.org/download/debfr-faq/html/
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-request@lists.debian.orgwith a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Attachment: pgpQgWnf_NFZp.pgp
Description: PGP signature

Reply to:

Follow-Ups:
- Re: Re : Re : securite (encore)
  - From: Nicolas Roudninski <nroudninski@wanadoo.fr>

References:
- securite (encore)
  - From: Nicolas Roudninski <nroud@free.fr>
- Re : securite (encore)
  - From: "Jean-Luc Coulon (f5ibh)" <jean-luc.coulon@wanadoo.fr>
- Re: Re : securite (encore)
  - From: Nicolas Roudninski <nroudninski@wanadoo.fr>

Prev by Date: Re: Re : securite (encore)
Next by Date: newsgroup et mail
Previous by thread: Re: Re : securite (encore)
Next by thread: Re: Re : Re : securite (encore)
Index(es):
- Date
- Thread