chkrootkit est un tres bon tool, mais n'est pas du tout fait pour détecter ce genre de choses !
chkrootkit fonctionne sur le principe de signatures, il fait une série de checks qui mettent en évidence la présence d'un rootkit. Si tu veux savoir si tes fichiers ont été modifié, il faut bien comparer avec quelque chose de certain... tripwire et d'autes sont la pour t'aider. Attention toute fois, toute modification devrait se faire a partir d'un environnement saint et garantis, kernel inclus. JeF On Wed, Oct 09, 2002 at 08:12:51AM -0700, Dominique Gallot wrote: > J'ai eu une pett merde ce soir, > Je viens de finir de retirer un beau ptt rootkit d'une de mes machine. > > Ma question est simple. J'ai presque du verifier les Hash MD5 de tous les > fichiers via rpm. J'ai essaye un rootkit detector, > http://www.chkrootkit.org/ . Il n'a rien trouvé, alors que plus de 5 > fichiers important etait affecter ! > /bin/init /bin/strings ... etc > > Qu'y a t'il comme autre alternative a chkrootkit. > > Aussi. > Pour ceux qui ont une redhat. > - Patcher ou enlever le support SSL > - enlever le sticky bit de linuxconfig ... ( c'est comme cela qu'ils ont > eu l'access root ) > > > Dominique Gallot > > > _______________________________________________________ > Linux Mailing List - http://www.unixtech.be > Subscribe/Unsubscribe: http://www.unixtech.be/mailman/listinfo/linux > Archives: http://www.mail-archive.com/linux@lists.unixtech.be > IRC: efnet.skynet.be:6667 - #unixtech -- -> Jean-Francois Dive --> [EMAIL PROTECTED] There is no such thing as randomness. Only order of infinite complexity. - _The Holographic Universe_, Michael Talbot _______________________________________________________ Linux Mailing List - http://www.unixtech.be Subscribe/Unsubscribe: http://www.unixtech.be/mailman/listinfo/linux Archives: http://www.mail-archive.com/linux@lists.unixtech.be IRC: efnet.skynet.be:6667 - #unixtech
