giggz a écrit : > giggz a écrit : >> Bonjour la liste, >> >> j'ai depuis quelques temps chkrootkit d'installer. Je n'ai jamais eu de >> problème particulier. Mais depuis ce matin j'ai : >> >> /etc/cron.daily/chkrootkit: >> The following suspicious files and directories were found: >> /usr/lib/xulrunner/.autoreg >> /usr/lib/iceweasel/.autoreg >> /usr/lib/firefox/.autoreg >> /lib/init/rw/.ramfs >> >> You have 1 process hidden for readdir command >> You have 1 process hidden for ps command >> chkproc: Warning: Possible LKM Trojan installed >> eth0: PACKET SNIFFER(/sbin/dhclient3[2997]) >> >> J'ai lancé à la main chkrootkit. Il ne trouve rien...tout est "no >> infected". Par contre si je lance à la main /usr/lib/chkrootkit/chkproc >> il me trouve 17 processus cachés...étrange, non ? >> >> Bref ceci est plutot stressant. J'aimerai savoir comment en savoir plus... >> la seule chose que j'ai bidouillé depuis hier est la configuration à >> internet. j'ai voulu voir si je pouvais me connecter via un proxy. en >> fait celui de free. >> >> Merci d'avance >> GiGGz >> >> > Bon j'ai lancé à la main dans une console virtuelle > /usr/lib/chkrootkit/chkproc -v . En ayant pris soin de fermer gdm et > autres trucs inutiles. Il ne me trouve plus qu'un process caché et c'est > cpufreq... > Alors que qd je lance /usr/lib/chkrootkit/chkproc -v sous gnome ou sous > E17 j'ai plusieurs process cachés qui sont "gnome-settings-daemon", les > programmes ouverts sur ma machine (gnome-terminal par exemple). Savez > vous pourquoi ces programmes sont listés comme processus cachés ? > > Merci > Guillaume > > Bon j'ai relancé chkrootkit avec le test lkm (celui qui a généré le warning) et là plus rein d'inquiétant : ROOTDIR is `/' Checking `lkm'... chkproc: nothing detected
A votre avis, c'était un faux positif ? Ciao -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]