Re: [linux] Rootkit detetor

Thu, 10 Oct 2002 00:21:33 -0700 

les rootkit, c'est une sorte de course: les techniques de détections contre
les teachnique d'évasion. Les rootkit kernel sont maintenant chose courantes
et permettent de cacher process et autres (tout se qu'on veut) sans patcher
du tout de binaire mais en changant les réponses des sycall que ces binaires
font --> ton ps est toujours bien le meme, mais le rootkit est bien la.
Les solutions ne sont pas trop génériques et souvent facile a éviter ...bref
c'est pas évident (solutions: check via /dev/kmem les structures du kernel,
mais facile a mettre en déroute)

Donc, le plus sur est de s'assurer qu'uncun rootkit ne rentre en faisant le plus
attention possible aux version de soft que l'on tourne.

On Thu, Oct 10, 2002 at 09:27:56AM +0200, Dominique Gallot wrote:
> 
> Le but d'un rootkit est d'installer des backdoors pour permettre de garde
> l'access à une machine que l'on a 'hacker'
> 
> Comment on se rend compte qu'on en a un
> 
> Le but d'un bon rootkit est d'etres non detactable ( en remplacant des
> binaires clé de la distribution )
> cad en general top ps, le kernel lui meme ( par example pour oublier dans
> le /proc les process du rootkit )
> netstat login init
> rpm a une fct super qui permet de verifier les signatures des fichiers.
> Donc je fais un truc du genre
> 
>       file /bin/* | grep ELF | cut -f 1 -d : > /tmp/corefiles
>       {
>               while read n; do
>                 echo Verifying $n `rpm -Vf $n`
>               done
>       } < /tmp/corefiles
> 
> et comment on peut l'enlever ?
> 
> ben on réinstalle les binnaires.
> 
> 
> 
> 
> _______________________________________________________
> Linux Mailing List - http://www.unixtech.be
> Subscribe/Unsubscribe: http://www.unixtech.be/mailman/listinfo/linux
> Archives: http://www.mail-archive.com/linux@lists.unixtech.be
> IRC: efnet.skynet.be:6667 - #unixtech

-- 

-> Jean-Francois Dive
--> [EMAIL PROTECTED]

  There is no such thing as randomness.  Only order of infinite
  complexity.  - _The Holographic Universe_, Michael Talbot

_______________________________________________________
Linux Mailing List - http://www.unixtech.be
Subscribe/Unsubscribe: http://www.unixtech.be/mailman/listinfo/linux
Archives: http://www.mail-archive.com/linux@lists.unixtech.be
IRC: efnet.skynet.be:6667 - #unixtech

Reply via email to