Re: chkrootkit : trojan ?
ARTUS Guillaume a écrit :
| le Sun, Dec 19, 2004 at 12:15:03PM +0100, Nicolas Roudninski a ecrit:
| > Salut,
| > En lançant ce matin chkrootkit, j'ai eu :
| > Checking `bindshell'... INFECTED (PORTS: 1524 31337)
|
| Si tu utilise portsentry, cela peut-etre un faux positif de chkrootkit
| http://frenchkrootkit.free.fr/chkrootkit.org-mirror-fr/
| faq numero 7
|
| > Checking `lkm'... You have 1 process hidden for readdir command
| > You have 1 process hidden for ps command
| > Warning: Possible LKM Trojan installed
|
| Idem, soit c'est un lkm, soit c'est un faux positif car un process est
| mort (de facon normale) pendant le test.
Exact : j'utilise portsentry et je pense que c'est lui à l'origine du
faux positif, car ...
| De toute facon, recoupe la sortie de chkrootkit avec rkhunter:
| http://www.rootkit.nl/
J'ai installé rkhunter et il ne détecte aucun trojan. Tout semble
clean...
| Sinon il te reste plus qu'a prendre ton courage a deux mains et chercher
| qui peut avoir ouvert 1524 et 31337 (man netstat) et quels sont les signes
| (fichiers, programmes,...) installes par les rootkit ouvrant les ports
| 1524 et 31337... mais comme c'est 2 ports hyper classique la liste risque
| d'etre longue...
Ben heureusement, cela semblait une fausse alerte
Merci bien. Bon dimanche.
--
Nicolas Roudninski
nroudninski@wanadoo.fr
Reply to: