le Sun, Dec 19, 2004 at 12:15:03PM +0100, Nicolas Roudninski a ecrit: > Salut, > En lançant ce matin chkrootkit, j'ai eu : > Checking `bindshell'... INFECTED (PORTS: 1524 31337) Si tu utilise portsentry, cela peut-etre un faux positif de chkrootkit http://frenchkrootkit.free.fr/chkrootkit.org-mirror-fr/ faq numero 7 > Checking `lkm'... You have 1 process hidden for readdir command > You have 1 process hidden for ps command > Warning: Possible LKM Trojan installed Idem, soit c'est un lkm, soit c'est un faux positif car un process est mort (de facon normale) pendant le test. > Questions : > 1/ Dois-je être inquiet ? A priori non ;-) > 2/ Que faire si je dois être inquiet ? De toute facon, recoupe la sortie de chkrootkit avec rkhunter: http://www.rootkit.nl/ En generale rkhunter est un peu moins sujet au faux possitifs que chkrootkit, et est donc amha un peu mieux que chkrootkit pour les tests en cas de doute, en plus d'etre plus bavard. (perso c'est surveillance en crontab avec chkrootkit et verification avec rkhunter...) Sinon il te reste plus qu'a prendre ton courage a deux mains et chercher qui peut avoir ouvert 1524 et 31337 (man netstat) et quels sont les signes (fichiers, programmes,...) installes par les rootkit ouvrant les ports 1524 et 31337... mais comme c'est 2 ports hyper classique la liste risque d'etre longue... Tu peux aussi verifier les signatures des paquets debian avec debsums, cela peut te dire si un programme n'est plus le meme que celui installe par le .deb Tus -- look 'ma a FAQ: http://wiki.debian.net/?DebianFrench guillaume.artus@free.fr
Attachment:
signature.asc
Description: Digital signature