Re: [un peu HS] Virus serveurs sous Linux
Le Fri, 18 Nov 2005 00:11:56 +0100
Glennie Vignarajah <glenny@nephthys.org> a écrit:
> C'est marrant, parce que si *moi*, je cherche à rooter une machine,
> la première chose que je ferai, c'est me mettre dans '/tmp' et
> chercher s'il y a des trucs du genre aide, tripwire, chkrootkit,
> vérifier les crontabs, vérifier les process lancés, faire un 'atq'
> vérifier le inittab et les init.d. etc
> Après c'est sûr qu'il faut être *super* *motivé* et surtout de
> disposer assez de temps...
Par recherche de processus cachés, j'entends rechercher les processus
existant mais n'apparaissant pas via ps. Comme ils existent, je me suis
aperçu qu'on pouvait quand même aller dans le repertoire sous /proc
correspondant même si ce repertoire n'apparait pas. J'ai utilisé
deux-trois rootkit pour tester le tout, ça marche bien.. A l(époque la
liste avait beaucoup contribuer à la lise au point de la premiere
version puis j'en ai fait une version copmilée.
En ce qui concerne le controle d'intégrité, l'amusant a été de
constater que les changements de bits de 1 à 0 arrivent de temps à
autre et qu'un binaire avec un bit modifié continue de marcher la
plupart du temps.
François Boisson
Reply to: