Re: LKM

[mahashakti89 <mahashakti89@wanadoo.fr>]

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Gloubi a écrit :
|
|
| - Pierre Ancelot a ecrit le 23.09.2004 00:25 -
|
|>
|> Bonjour la liste, chkrootkit me dit:
|>
|> Checking `lkm'... You have    11 process hidden for readdir command
|> You have    11 process hidden for ps command
|> Warning: Possible LKM Trojan installed
|>
|>
|> Ce qui ne me plait pas vraiment...
|>
|> alors j'ai fait un ps -AH u pour pousser les investigations plus loin
|> mais....
|>
|> est-ce que l'option -A va me montrer les processus cachés ? j'avait
|> wish qui tournait... normal ? (je code pas en tcl) comment etre sur
|> que j'ai, ou pas, LKM ?
|> et enfin, quel log fouiller pour savoir comment la personne est
|> "entre" dans ma box ?
|>
|> merci :)
|>
| Salut,
|
| j'ai également un wish qui tourne, et j'ai réussi à l'identifier comme
| étant utilisé par amsn.
|
| Bon courage.
|
|



Bon, j'ai eu ce genre de truc aussi en lançant chkrootkit, et en
fouillant dans la doc , je me suis aperçu que certains paquets
mentionnés dans /usr/share/doc/chkrookit/Readme.Debian provoquaient de
fausses alertes et deux rapports de bogues sont signalés , concernant
le paquet procps .... à lire.

J'ai testé , fouillé , essayé un utilitaire bien pratique, disponible
ici : http://www.rootkit.nl/projects/rootkit_hunter.html

et rien.
Je n'ai après cette alerte rien constaté de suspicieux ....


A voir donc

mahashakti89
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.5 (GNU/Linux)
Comment: Using GnuPG with Debian - http://enigmail.mozdev.org

iD8DBQFBUupQPPuyRSaD7LoRAurfAKCMeK62079nB7SOFRmID24+V2+LkQCfQthJ
y4CdCp8ucEvfKO4wWm+I5eY=
=wdst
-----END PGP SIGNATURE-----