Re: Rootkit ?
C. Mourad Jaber a écrit :
Bonjour,
J'ai un résultat de chkrootkit qui m'inquiète :
Checking `bindshell'... INFECTED (PORTS: 600)
Qu'est-ce que cela signifie ? comment s'en débarassé si c'est
effectivement un rootkit ?
Merci
Mourad
Il ya quelques petites choses simples que tu peux tenter avant de
réinstaller tout :)
D'abord lire /usr/share/doc/chkrootkit/README.FALSE-POSITIVES pour voir
si ce n'est pas un faux positif (rien ne concerne le port 600 chez moi).
Ensuite si tu en as la possibilité effectue un nmap -sS -p1-65535 <IP de
ta machine> *depuis une autre machine* (si possible sure).
Relève les ports ouverts et compare les à la sortie d'un "netstat -tulpe".
S'il y a des différences entre les services/ports affichés, comparer la
signature de netstat (md5sum ou gpg) avec un binaire netstat de ta
distribution "sur" (celui d'un CD ou fraichement récupéré d'un serveur
et dûment vérifié). netstat provient du paquet net-tools.
Tu peux aussi lancer un "lsof i:600" voir ce qui écoute là ...
Voilà quelques pistes.
Bon courage
Pascal
--
Haut par-dessus leur tête voguaient les blanches sculptures
des nuages, comme en la cervelle de Michel-Ange des volutes
de concept.
M. Lowry
Reply to:
- References:
- Rootkit ?
- From: "C. Mourad Jaber" <ml-count_spam@lundarael.dyndns.org>