Re: résultat de chkrootkit

To: debian-user-french@lists.debian.org
Subject: Re: résultat de chkrootkit
From: François Boisson <user.anti-spam@maison.homelinux.net>
Date: Fri, 24 Dec 2004 09:04:08 +0100
Message-id: <[🔎] 20041224090408.6d3ea4a0.user.anti-spam@maison.homelinux.net>
In-reply-to: <[🔎] 41CB61A2.20500@free.fr>
References: <[🔎] 41CB61A2.20500@free.fr>

Le Fri, 24 Dec 2004 01:24:02 +0100
k3rn <k3rn@free.fr> a écrit:

> Bonsoir
> 
> Suite à un message sur cette ML, j'ai installé chkrootkit, et voici le
> résultat :
> 
>     # chkrootkit -q
> /usr/bin/strings: Warning: '/' is not an ordinary file
> You have     8 process hidden for readdir command
> You have     8 process hidden for ps command
> Warning: Possible LKM Trojan installed
> eth0: PACKET SNIFFER(/sbin/dhclient[1847])
> 
> Y a-t-il matière à s'inquieter ?

Il y a bcp de faux positifs avec chkrootkit mais il faut s'inquiéter qd
même. Je rappelle que j'ai fait un petit programme très pratique qui
permet d'identifer les processus cachés en question et de prévenir leur
apparition. C'est un paquet (cacheproc sous

deb http://boisson.homeip.net/woody/ ./
ou
deb http://boisson.homeip.net/sarge/ ./
)

Il est composé de deux programmes chercheprocess et regarde qui
cherchent les processus cachés. Ainsi pour Suckit, la sortie est

dell1:/home/boisson# chercheprocess 
Recherche de processus cachés F.Boisson Dec2003
...Processus caché :13528
Environnement:

PWD=/usr/.sk12REMOTEHOST=R2D3.rebellesHZ=100PS1=\h:\w\$
USER=rootMAIL=/var/mail/
boissonOLDPWD=/home/boissonLANG=fr_FR@euroDISPLAY=totoche.rebelles:0.0L
OGNAME=bo
issonSHLVL=2HUSHLOGIN=FALSESHELL=/bin/bashTERM=xtermHOME=/rootPATH=/sbi
n:/bin:/u
sr/sbin:/usr/bin:/usr/bin/X11:/usr/local/sbin:/usr/local/bin_=./sk Ligne
de commande:

./sk
...\
1 processus caché(s) trouvé(s)
dell1:/home/boisson# 

Cela permet de savoir le repertoire d'exécution (PWD=/usr/.sk12 ici),
qui l'a lancé (USER=root), plusieurs renseignements divers dans
l'environnement et bien sûr, la ligne de commande ayant lancé le
processus (ici ./sk).

regarde est le même programme mais sans sortie écran si tout se passe
bien. Mettre
0 *     * * *   root    /usr/bin/regarde
enverra un mail à root (via la sortie standard, bien configurer cron) en
cas de processus trouvé.


Il peut y avoir de rares cas de faux positifs lorsqu'un programme est
détruit entre sa détection et son analyse, dans ce cas, il n'affiche
aucune ligne de commande (1 fois tous les deux mois environ chez moi sur
une passerelle parefeu).

François Boisson

Reply to:

References:
- résultat de chkrootkit
  - From: k3rn <k3rn@free.fr>

Prev by Date: Re: Ai je été attaqué
Next by Date: Re: Clamav / clamscan
Previous by thread: résultat de chkrootkit
Next by thread: Re: résultat de chkrootkit
Index(es):
- Date
- Thread