Re: chkrootkit : trojan ?
A se mefier tout de meme parceque 31337 veut dire "elite" en 1337
language..... c'est souvent utilise par des gens ayant une haute estime d'eux
meme ;)
netstat -putan
lsof -i
peuvent aider ;)
nite nite :)
On Sunday 19 December 2004 17:34, Nicolas Roudninski wrote:
> ARTUS Guillaume a écrit :
> | le Sun, Dec 19, 2004 at 12:15:03PM +0100, Nicolas Roudninski a ecrit:
> | > Salut,
> | > En lançant ce matin chkrootkit, j'ai eu :
> | > Checking `bindshell'... INFECTED (PORTS: 1524 31337)
> |
> | Si tu utilise portsentry, cela peut-etre un faux positif de chkrootkit
> | http://frenchkrootkit.free.fr/chkrootkit.org-mirror-fr/
> | faq numero 7
> |
> | > Checking `lkm'... You have 1 process hidden for readdir command
> | > You have 1 process hidden for ps command
> | > Warning: Possible LKM Trojan installed
> |
> | Idem, soit c'est un lkm, soit c'est un faux positif car un process est
> | mort (de facon normale) pendant le test.
>
> Exact : j'utilise portsentry et je pense que c'est lui à l'origine du
> faux positif, car ...
>
> | De toute facon, recoupe la sortie de chkrootkit avec rkhunter:
> | http://www.rootkit.nl/
>
> J'ai installé rkhunter et il ne détecte aucun trojan. Tout semble
> clean...
>
> | Sinon il te reste plus qu'a prendre ton courage a deux mains et chercher
> | qui peut avoir ouvert 1524 et 31337 (man netstat) et quels sont les
> | signes (fichiers, programmes,...) installes par les rootkit ouvrant les
> | ports 1524 et 31337... mais comme c'est 2 ports hyper classique la liste
> | risque d'etre longue...
>
> Ben heureusement, cela semblait une fausse alerte
>
> Merci bien. Bon dimanche.
>
> --
> Nicolas Roudninski
> nroudninski@wanadoo.fr
Reply to: