Re: Sarge: chkrootkit problèmes alertes

[OXx <xxdevil06@gmail.com>]

Ok j'ai passé d'autres outils que chkrootkit pour être sûr et en effet tout me parait clean.
Merci Gurvan pour ta réponse !
OxX

Le 20/06/06, Gurvan Huiban <gugs.nospamplease@free.fr> a écrit :

On Tuesday 20 June 2006 04:34, OXx wrote:
> J'utilise chkrootkit
> chkrootkit version 0.44 sur une Debian Sarge.
> J'ai un problème j'ai reçu dernièrement un mail de ce type:
>
> /etc/cron.daily/chkrootkit:
> You have 2 process hidden for readdir command
> You have 2 process hidden for ps command
> Warning: Possible LKM Trojan installed
>
> Lorsque je vais sur la machine et que je relance à la main chkrootkit avec
> les même paramètres contenus dans /etc/cron.daily/chkrootkit ou même avec
> un chkrootkit -c.
> Il me met Nothing found tout est ok...
> Quelqu'un a déjà eu un soucis avec de fausses alertes?

Ce type de fausse alerte peut arriver. Je ne me souviens plus des détails
techniques, mais en gros chkrootkit compare la sortie de ps avec le contenu
d'un répertoire recensant les processus en cours (/proc/ps?), histoire de
voir si ps occulte certains résultats.

Il suffit que un ou 2 processus soient crées/supprimés entre l'exécution du ps
et le listing du répertoire. Ça arrive une fois de temps en temps.

Si en re-exécutant chkrootkit en console, ça n'apparaît plus, c'est que a
priori c'est OK.

> Enfin je comprend pkoi il me mail cà , il devrait me sortir les mêmes
> résultats en ligne de commande...

--
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    Gurvan Huiban

     "My mother used to make coffee this way...
       Hot...
        Strong...
         And good."    (from "Once upon in the West")