Effectivement, comme LKM ("Linux Kernel Module") est un module noyau, une maj
noyau peut permettre de s'en débarasser... mais le problème, c'est qu'en
général il fait partie d'un rootkit, qui en profite pour modifier la plupart
des binaires existants sur le système.
En trouvant quel rootkit a été installé, et en réinstallant les packages
concernés, on peut sauver une distrib infectée. Mais le problème, c'est qu'on
n'est jamais sur du résultat.
Conseil supplémentaire sur l'utilisation de chkrootkit:
C'est plus sur d'avoir des packages pour chaque distrib, comprenant chkrootkit
+ les binaires qu'il utilise.
Depuis que j'ai infecté tout un système avec des binaires vérolés :( je
n'utilise plus jamais les binaires du système pour exécuter chkrootkit.
--
RV
> -----Message d'origine-----
> De : Jerome Alet [mailto:[EMAIL PROTECTED]
> Envoyé : jeudi 11 mars 2004 09:08
>
> mets ton noyau à jour, car sur une machine sur laquelle j'avais
> ces messages, je ne les ai plus après une mise à jour (pas que du
> noyau, mais bon)
>
> voir :
>
> http://www.mail-achive.com/[EMAIL PROTECTED]/msg11673
>
> cherche aussi "lkm false positive" sur google
>
> à+
>
> Jérôme Alet
>
> Linux-Azur : http://www.linux-azur.org
> Désinscriptions: http://www.linux-azur.org/liste.php3
> **** Pas de message au format HTML, SVP ****
>
Linux-Azur : http://www.linux-azur.org
Désinscriptions: http://www.linux-azur.org/liste.php3
**** Pas de message au format HTML, SVP ****
