On Wed, 14 Jan 2004 11:50:57 +0100 Jean-Michel OLTRA <[EMAIL PROTECTED]> wrote:
> Le reste, 'no packet sniffer sockets', si mon angliche est convenable, > signifie(rait) que chkrootkit n'a pas trouvé de socket qui pourrait > indiquer la présence d'un sniffer (il faut bien que le sniffer > retransmette ce qu'il renifle -j'aime pas tellement sniffer, comme > verbe.-). > > Cependant il y a eu un fil de discussion sur la liste concernant > chkrootkit et le mode promiscuous. C'était pas F. Boisson qui l'avait > initié et qui pourrait nous rafraîchir la mémoire ? C'était.. Sur ce problème précis, chkrootkit peut rater une interface en mode promiscuous (il suffit de faire un tcpdump et de lancer chkrootkit en même temps, il ne voit pas l'interface en mode promiscuous de même que ifconfig). Par contre la commande "ip link" affiche l'ensemble des interfaces et leur état (mode promiscuous ou non). François Boisson cerbere:/home/francois# tcpdump > /dev/null 2> /dev/null & cerbere:/home/francois# ip link 1: lo: <LOOPBACK,UP> mtu 16436 qdisc noqueue link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 2: teql0: <NOARP> mtu 1500 qdisc noop qlen 100 link/void 3: eth0: <BROADCAST,MULTICAST,PROMISC,UP> mtu 1500 qdisc pfifo_fast qlen 100 link/ether 00:e0:7d:e2:1b:e8 brd ff:ff:ff:ff:ff:ff 4: eth1: <BROADCAST,UP> mtu 1500 qdisc htb qlen 30 link/ether 00:50:ba:d5:4a:f4 brd ff:ff:ff:ff:ff:ff cerbere:/home/francois# ifconfig eth0 eth0 Lien encap:Ethernet HWaddr 00:E0:7D:E2:1B:E8 inet adr:192.168.1.251 Bcast:192.168.1.255 Masque:255.255.255.0 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:5416117 errors:0 dropped:0 overruns:0 frame:0 TX packets:5156508 errors:0 dropped:0 overruns:0 carrier:0 collisions:179762 lg file transmission:100 RX bytes:509556562 (485.9 MiB) TX bytes:2989720578 (2.7 GiB) Interruption:11 cerbere:/home/francois# chkrootkit ROOTDIR is `/' Checking `amd'... not found Checking `basename'... not infected ... Checking `sniffer'... eth0 is not promisc eth1 is not promisc Checking `wted'... nothing deleted Checking `w55808'... not infected ... cerbere:/home/francois# killall tcpdump cerbere:/home/francois# ip link 1: lo: <LOOPBACK,UP> mtu 16436 qdisc noqueue link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 2: teql0: <NOARP> mtu 1500 qdisc noop qlen 100 link/void 3: eth0: <BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast qlen 100 link/ether 00:e0:7d:e2:1b:e8 brd ff:ff:ff:ff:ff:ff 4: eth1: <BROADCAST,UP> mtu 1500 qdisc htb qlen 30 link/ether 00:50:ba:d5:4a:f4 brd ff:ff:ff:ff:ff:ff cerbere:/home/francois#