[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: chkrootkit : trojan ?

ARTUS Guillaume a écrit :
| le Sun, Dec 19, 2004 at 12:15:03PM +0100, Nicolas Roudninski a ecrit:
| > Salut,
| > En lançant ce matin chkrootkit, j'ai eu :
| > Checking `bindshell'... INFECTED (PORTS:  1524 31337)
| 
| Si tu utilise portsentry, cela peut-etre un faux positif de chkrootkit
| http://frenchkrootkit.free.fr/chkrootkit.org-mirror-fr/
| faq numero 7
| 
| > Checking `lkm'... You have     1 process hidden for readdir command
| > You have     1 process hidden for ps command
| > Warning: Possible LKM Trojan installed
| 
| Idem, soit c'est un lkm, soit c'est un faux positif car un process est
| mort (de facon normale) pendant le test.

Exact : j'utilise portsentry et je pense que c'est lui à l'origine du
faux positif, car ...

| De toute facon, recoupe la sortie de chkrootkit avec rkhunter:
| http://www.rootkit.nl/

J'ai installé rkhunter et il ne détecte aucun trojan. Tout semble
clean...

| Sinon il te reste plus qu'a prendre ton courage a deux mains et chercher
| qui peut avoir ouvert 1524 et 31337 (man netstat) et quels sont les signes
| (fichiers, programmes,...) installes par les rootkit ouvrant les ports
| 1524 et 31337... mais comme c'est 2 ports hyper classique la liste risque
| d'etre longue...

Ben heureusement, cela semblait une fausse alerte

Merci bien. Bon dimanche.

-- 
Nicolas Roudninski
nroudninski@wanadoo.fr
Reply to: