Re: rootkit Jessie?
On 09/18/2014 02:28 PM, Francois Boisson wrote:
J'obtiens ceci après avoir lancé Chkrootkit
Searching for Suckit rootkit... Warning:
/sbin/init INFECTED
/sbin/init est un lien symbolique
-> /lib/systemd/systemd
suckit utilise des processus cachés. Essaye un truc genre
for i in $(seq 1 65536); do ls -l $i/cmdline; done 2> /dev/null | sed -e '1,$s|^.* \([0-9]*\)/cmdline$|ps -p \1 -o comm=|g' | sh
qui devrait ne pas afficher d'erreurs
Fait, Aucune erreur
ou bien utilise mon paquet cacheproc ou un paquet
équivalent genre unhide.
François Boisson
1° passe de unhide
unhide -v -m -d sys procall proc reverse brute reverse
Found HIDDEN PID: 30034
Cmdline: "<none>"
Executable: "<no link>"
"<none> ... maybe a transitory process"
2° passe
unhide -v -m -d sys procall proc reverse brute reverse
Rien de caché
Vu le nombre de doléances concernant ce sujet sur le net, j'aurais
tendance à laisser tomber mais.... . J'ai upgradé systemd Jessie à la
version Sid, pas de changement.
--
Maderios
Reply to: