Re: Message chkrootkit qui fait peur

[giggz <giggzounet@gmail.com>]

giggz a écrit :
> giggz a écrit :
>> Bonjour la liste,
>>
>> j'ai depuis quelques temps chkrootkit d'installer. Je n'ai jamais eu de
>> problème particulier. Mais depuis ce matin j'ai  :
>>
>> /etc/cron.daily/chkrootkit:
>> The following suspicious files and directories were found:
>> /usr/lib/xulrunner/.autoreg
>> /usr/lib/iceweasel/.autoreg
>> /usr/lib/firefox/.autoreg
>> /lib/init/rw/.ramfs
>>
>> You have     1 process hidden for readdir command
>> You have     1 process hidden for ps command
>> chkproc: Warning: Possible LKM Trojan installed
>> eth0: PACKET SNIFFER(/sbin/dhclient3[2997])
>>
>> J'ai lancé à la main chkrootkit. Il ne trouve rien...tout est "no
>> infected". Par contre si je lance à la main /usr/lib/chkrootkit/chkproc
>> il me trouve 17 processus cachés...étrange, non ?
>>
>> Bref ceci est plutot stressant. J'aimerai savoir comment en savoir plus...
>> la seule chose que j'ai bidouillé depuis hier est la configuration à
>> internet. j'ai voulu voir si je pouvais me connecter via un proxy. en
>> fait celui de free.
>>
>> Merci d'avance
>> GiGGz
>>
>>
> Bon j'ai lancé à la main dans une console virtuelle
> /usr/lib/chkrootkit/chkproc -v . En ayant pris soin de fermer gdm et
> autres trucs inutiles. Il ne me trouve plus qu'un process caché et c'est
> cpufreq...
> Alors que qd je lance /usr/lib/chkrootkit/chkproc -v sous gnome ou sous
> E17 j'ai plusieurs process cachés qui sont "gnome-settings-daemon", les
> programmes ouverts sur ma machine (gnome-terminal par exemple). Savez
> vous pourquoi ces programmes sont listés comme processus cachés ?
> 
> Merci
> Guillaume
> 
> 
Bon j'ai relancé chkrootkit avec le test lkm (celui qui a généré le
warning) et là plus rein d'inquiétant :
ROOTDIR is `/'
Checking `lkm'... chkproc: nothing detected

A votre avis, c'était un faux positif ?

Ciao