Re : Sécurité (suite) était Re:HS [Intrusion, reconstitution] était Re:Quel kernel ?
Le 28.12.2003 12:10, François Boisson a écrit : |Un script complet listant les processus cachés (dont un éventuel |SuckIT), |script testé et vérifié sur des machines infectées et non infectées: | |#!/bin/sh |ls /proc > /tmp/liste_processus |cd /proc |for i in `seq 1 65535` |do if test -f $i/cmdline ; then | if [ -z "`grep $i /tmp/liste_processus`" ] ; then |echo $i "pid caché" |cat $i/cmdline |echo "\nEnvironnement:\n" |cat $i/environ |echo "\n" | fi |fi |done Ne fonctionne que sur une machine non chargée. J4ai fais l'essai avec une compile qui tournait, les processus correspondant à cc étaient considérés comme cachés (trop courts pour pouvoir être traités par le script). -- - Jean-Luc | |François Boisson | | |-- |Pensez à lire la FAQ de la liste avant de poser une question : |http://savannah.nongnu.org/download/debfr-faq/html/ | |Pensez à rajouter le mot ``spam'' dans vos champs "From" et |"Reply-To:" | |To UNSUBSCRIBE, email to [EMAIL PROTECTED] |with a subject of "unsubscribe". Trouble? Contact |[EMAIL PROTECTED] | | pgp8dDB3q8EXy.pgp Description: PGP signature
Re: Sécurité (suite) était Re:HS [Intrusion, reconstitution] était Re:Quel kernel ?
Un script complet listant les processus cachés (dont un éventuel SuckIT), script testé et vérifié sur des machines infectées et non infectées: #!/bin/sh ls /proc > /tmp/liste_processus cd /proc for i in `seq 1 65535` do if test -f $i/cmdline ; then if [ -z "`grep $i /tmp/liste_processus`" ] ; then echo $i "pid caché" cat $i/cmdline echo "\nEnvironnement:\n" cat $i/environ echo "\n" fi fi done François Boisson
Re: Sécurité (suite) était Re:HS [Intrusion, reconstitution] était Re:Quel kernel ?
On Sun, 28 Dec 2003 00:19:16 +0100 "alde" <[EMAIL PROTECTED]> wrote: > JE vous vois parler de chrootkit depuis plusieurs jours... Mais ca > fonctionne comment ??? Je l'ai installé mais y'a pas de man :( Simple: chkrootkit François Boisson
RE: Sécurité (suite) était Re:HS [Intrusion, reconstitution] était Re:Quel kernel ?
> -Message d'origine- > De : François Boisson [mailto:[EMAIL PROTECTED] > Envoyé : samedi 27 décembre 2003 23:27 > À : [EMAIL PROTECTED] > Cc : debian-user-french@lists.debian.org > Objet : Re: Sécurité (suite) était Re:HS [Intrusion, reconstitution] > était Re:Quel kernel ? > > > On Sat, 27 Dec 2003 18:58:53 +0100 > "Loick.B" <[EMAIL PROTECTED]> wrote: > > > Le Samedi 27 Décembre 2003 18:41, daniel huhardeaux a écrit : > > > grep -e environ "pwd" Si vous n'etes pas infecte (grep sk) ne retourne > > > rien. > > Cela me rassure: un "# cd /usr/sbin; grep -e environ 'pwd'" > > me renvoie: > > "grep: pwd: Aucun fichier ou répertoire de ce type". > > > > > Le plus simple est d'installer chkrootkit pour tester votre > > > environnement. > > J'e l'ai installé depuis deja plusieurs mois déjà. Mais la version de la > > woody est la 0.35-1et je ne pense pas qu'elle détecte sk... > > Attention, le chkrootkit0.42b pris sur le site n'a rien détecté chez moi > alors même que la machine avait un SuckIT d'installé... :-( > > François Boisson > > PS: Effectivement, Suckit se déinstalle par "./ -u" > > > -- Bonsoir la liste, JE vous vois parler de chrootkit depuis plusieurs jours... Mais ca fonctionne comment ??? Je l'ai installé mais y'a pas de man :( Pourquoi je m'interresse a ca ? Simple j'ai un enorme probleme avec ma debian :( La machine se bloque completement plus de clavier plus d'affichage a l'ecran rien :( Je n'ai pas de serveur graphique juste en console. De plus j'ai beau lire les logs il n'y a rien nul part :(
Re: Sécurité (suite) était Re:HS [Intrusion, reconstitution] était Re:Quel kernel ?
On Sat, 27 Dec 2003 18:58:53 +0100 "Loick.B" <[EMAIL PROTECTED]> wrote: > Le Samedi 27 Décembre 2003 18:41, daniel huhardeaux a écrit : > > grep -e environ "pwd" Si vous n'etes pas infecte (grep sk) ne retourne > > rien. > Cela me rassure: un "# cd /usr/sbin; grep -e environ 'pwd'" > me renvoie: > "grep: pwd: Aucun fichier ou répertoire de ce type". > > > Le plus simple est d'installer chkrootkit pour tester votre > > environnement. > J'e l'ai installé depuis deja plusieurs mois déjà. Mais la version de la > woody est la 0.35-1et je ne pense pas qu'elle détecte sk... Attention, le chkrootkit0.42b pris sur le site n'a rien détecté chez moi alors même que la machine avait un SuckIT d'installé... :-( François Boisson PS: Effectivement, Suckit se déinstalle par "./ -u"
Re: Sécurité (suite) était Re:HS [Intrusion, reconstitution] était Re:Quel kernel ?
Le Samedi 27 Décembre 2003 18:41, daniel huhardeaux a écrit : > grep -e environ "pwd" Si vous n'etes pas infecte (grep sk) ne retourne > rien. Cela me rassure: un "# cd /usr/sbin; grep -e environ 'pwd'" me renvoie: "grep: pwd: Aucun fichier ou répertoire de ce type". > Le plus simple est d'installer chkrootkit pour tester votre > environnement. J'e l'ai installé depuis deja plusieurs mois déjà. Mais la version de la woody est la 0.35-1et je ne pense pas qu'elle détecte sk... Merci. -- Loick.B
