le Sun, Dec 19, 2004 at 12:15:03PM +0100, Nicolas Roudninski a ecrit:
> Salut,
> En lançant ce matin chkrootkit, j'ai eu :
> Checking `bindshell'... INFECTED (PORTS: 1524 31337)
Si tu utilise portsentry, cela peut-etre un faux positif de chkrootkit
http://frenchkrootkit.free.fr/chkrootkit.org-mirror-fr/
faq numero 7
> Checking `lkm'... You have 1 process hidden for readdir command
> You have 1 process hidden for ps command
> Warning: Possible LKM Trojan installed
Idem, soit c'est un lkm, soit c'est un faux positif car un process est
mort (de facon normale) pendant le test.
> Questions :
> 1/ Dois-je être inquiet ?
A priori non ;-)
> 2/ Que faire si je dois être inquiet ?
De toute facon, recoupe la sortie de chkrootkit avec rkhunter:
http://www.rootkit.nl/
En generale rkhunter est un peu moins sujet au faux possitifs que
chkrootkit, et est donc amha un peu mieux que chkrootkit pour les tests en
cas de doute, en plus d'etre plus bavard. (perso c'est surveillance en
crontab avec chkrootkit et verification avec rkhunter...)
Sinon il te reste plus qu'a prendre ton courage a deux mains et chercher
qui peut avoir ouvert 1524 et 31337 (man netstat) et quels sont les signes
(fichiers, programmes,...) installes par les rootkit ouvrant les ports
1524 et 31337... mais comme c'est 2 ports hyper classique la liste risque
d'etre longue...
Tu peux aussi verifier les signatures des paquets debian avec debsums,
cela peut te dire si un programme n'est plus le meme que celui installe
par le .deb
Tus
--
look 'ma a FAQ:
http://wiki.debian.net/?DebianFrench
guillaume.artus@free.fr
Attachment:
signature.asc
Description: Digital signature