Re: sniff & chkrootkit...
François Boisson <user.anti-spam <at> maison.homelinux.net> writes:
> chrootkit (SuckIT en l'occurrence). Du coup j'ai développé un script puis
> un petit programme en Caml qui détecte les processus cachés et indique le
> répertoire d'exécution (même caché), le pid et la ligne de commande. Ce
> programme correspond au paquet "cacheproc" et se trouve sur
> deb ftp://boisson.homeip.net/woody/ ./
Merci à tous pour vos réponses.
Cependant, 2 petites remarques :
1) sniffit lancé la babasse locale ne se fait pas non plus détecter
par chkrootkit.
2) Justement, à propos de lui, il me détecte des processus cachés lorsqu'il
check lkm :
Checking `lkm'... You have 5 process hidden for readdir command
You have 5 process hidden for ps command
Warning: Possible LKM Trojan installed
Le chercheprocess de François ne détecte rien, lui.
C'est quoi lkm ? locate ou apropos ne donne rien à ce sujet.
Et qu'est qu'on fait en général lorsque l'on obtient ce genre de message ?
Il semblerait que chkrootkit me détecte ce trojan que lorsque je me connecte.
Avant la connex, tout est clean.
Une idée ?
Merci.
Reply to: