Re: Rootkit ?
Sylvain Viollat a écrit :
On Fri, Oct 21, 2005 at 10:43:58AM +0200, C. Mourad Jaber wrote :
Bonjour,
Bonjour,
J'ai un résultat de chkrootkit qui m'inquiète :
Checking `bindshell'... INFECTED (PORTS: 600)
Qu'est-ce que cela signifie ? comment s'en débarassé si c'est
effectivement un rootkit ?
Peut etre pourrais tu comparer le résultat avec rkhunter :
http://www.rootkit.nl/downloads/
A+
Sylvain
Je viens de le faire, et il ne trouve rien de spécial.
Tous les indicateurs sont au vert :)
J'avais le rpc.statd qui écoutait sur le port UDP 600, je l'ai arrêté,
et chkrootkit ne trouve plus rien d'infecté...
Je n'ai pas trouvé de modifications sur la machine et le noyau est
complètement monolitique (c'est ma passerelle) sans module loader, donc
a priori pas de risques de ce coté là...
Je vais mettre ce truc dans le camp de faux positifs pour l'instant...
Par sécurité, j'ai réinstallé bind9 et nfs-common, juste au cas où...
@ +
Mourad
Reply to:
- References:
- Rootkit ?
- From: "C. Mourad Jaber" <ml-count_spam@lundarael.dyndns.org>
- Re: Rootkit ?
- From: Sylvain Viollat <sylvain@rtcw.com.fr>