On Sat, 27 Dec 2003 16:39:10 +0100 daniel huhardeaux <[EMAIL PROTECTED]> wrote:
> Cela ressemble a (trouve dans un thread sur ce probleme sur > linuxQuestions.org > > Check where sk is: cd /proc; for i in *; do test -f $i/cmdline && (cat > $i/cmdline; echo $i | grep -e "sk"); done This will return the PID for > sk, change to that dir and grep environ -e "pwd". This returns the > rootkits dir (/usr/share/locale/ro_US ?). > 4. Uninstall rootkit: cd to that dir, and execute "./sk -u" to > uninstall. Sauf que in * le fait parcourir les processus visibles i.e sous /proc, d'après ce que j'ai compris, SuckIT cache les processus, les repertoire <pid> ne sont pas visibles sous /proc mais existent quand même d'où mon idée de forcer la lecture à tous les numéros et pas seulement à ceux qui sont sous /proc. Merci de tes idées, je vais lire ta doc. Je pense infecter une machine pour voir si ce que j'ai dit marche. Si c'est le cas, il est facile de faire un pgm cherchant systématiquement de tels processus cachés. Je te tiens au courant François Boisson
