Re: Sécurité (suite) étai t Re:HS [Intrusion, reconstitution] était Re:Quel kernel ?
François Boisson <user.anti-spam@maison.homelinux.net> writes:
>>
>> Sinon une autre question subsidiaire : le script me detecte comme
>> processus caché ypbind-broadcast et mozilla-bin.
>>
>> À la limite, ypbind-broadcast, je veux bien, mais mozilla-bin ???
>>
>> Et sinon, ça correspond à quoi exactement ce comportement ? on fait
>> comment pour cacher un processus ?
> C'est un 2.6 j'imagine, qu'y a-t-il exactement sous /proc dans un tel cas,
> je n'ai pas de 2.6 sous la main...
Avec un ps :
jgilles 1035 1122 0 13:38 ? 00:00:00 /bin/sh -c mozilla
jgilles 1042 1035 1 13:38 ? 00:02:00 /usr/lib/mozilla/mozilla-bin
Ton script me signale les processus cachés suivants : 1172 1173 1255
Dans /proc, il y a bien un répertoire 1042, mais point de 1172, 1173,
ou 1255 (via ls). Par contre "cd /proc/1172" fonctionne, cmdline
correspond bien à /usr/lib/mozilla/mozilla-bin. Bref, il est logique
que le script mentionne cette entrée bizarre dans /proc.
Enfin, dans /proc/1042, il y a un répertoire task, qui contient les
sous-répertoires 1172, 1173 et 1255.
Donc c'est bien des threads, ils n'apparaissent pas comme entrée
directe dans /proc, on peut y accéder via le répertoire task de leur
père, ou directement dans /proc/pid (si on connait pid).
Autrement dit il ne faudrait pas compter comme processus caché des
processus qui apparaissent dans un des sous-répertoires tasks d'un
processus. Amis du shell, à vos clavier !
Maintenant je ne sais pas si les astuces utilisées pour cacher (et
trouver) un processus dans un noyau 2.4.x sont toujours applicables
pour un 2.6 ; ce script n'est peut-être donc aucune utilité dans ce
cas. Si un gourou barbu peut confirmer ou infirmer...
--
Julien Gilles.
Reply to: