Re: Sarge: chkrootkit problèmes alertes

[Gurvan Huiban <gugs.nospamplease@free.fr>]

On Tuesday 20 June 2006 04:34, OXx wrote:
> J'utilise chkrootkit
> chkrootkit version 0.44 sur une Debian Sarge.
> J'ai un problème j'ai reçu dernièrement un mail de ce type:
>
> /etc/cron.daily/chkrootkit:
> You have     2 process hidden for readdir command
> You have     2 process hidden for ps command
> Warning: Possible LKM Trojan installed
>
> Lorsque je vais sur la machine et que je relance à la main chkrootkit avec
> les même paramètres contenus dans /etc/cron.daily/chkrootkit ou même avec
> un chkrootkit -c.
> Il me met Nothing found tout est ok...
> Quelqu'un a déjà eu un soucis avec de fausses alertes?

Ce type de fausse alerte peut arriver. Je ne me souviens plus des détails 
techniques, mais en gros chkrootkit compare la sortie de ps avec le contenu 
d'un répertoire recensant les processus en cours (/proc/ps?), histoire de 
voir si ps occulte certains résultats.

Il suffit que un ou 2 processus soient crées/supprimés entre l'exécution du ps 
et le listing du répertoire. Ça arrive une fois de temps en temps.

Si en re-exécutant chkrootkit en console, ça n'apparaît plus, c'est que a 
priori c'est OK.

> Enfin je comprend pkoi il me mail cà , il devrait me sortir les mêmes
> résultats en ligne de commande...

-- 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    Gurvan Huiban

     "My mother used to make coffee this way...
       Hot...
        Strong...
         And good."    (from "Once upon in the West")