Re: Sarge: chkrootkit problèmes alertes
Ok j'ai passé d'autres outils que chkrootkit pour être sûr et en effet tout me parait clean.Merci Gurvan pour ta réponse !OxX Le 20/06/06, Gurvan Huiban <[EMAIL PROTECTED]> a écrit : On Tuesday 20 June 2006 04:34, OXx wrote:> J'utilise chkrootkit> chkrootkit version 0.44 sur une Debian Sarge.> J'ai un problème j'ai reçu dernièrement un mail de ce type:>> /etc/cron.daily/chkrootkit: > You have 2 process hidden for readdir command> You have 2 process hidden for ps command> Warning: Possible LKM Trojan installed>> Lorsque je vais sur la machine et que je relance à la main chkrootkit avec > les même paramètres contenus dans /etc/cron.daily/chkrootkit ou même avec> un chkrootkit -c.> Il me met Nothing found tout est ok...> Quelqu'un a déjà eu un soucis avec de fausses alertes? Ce type de fausse alerte peut arriver. Je ne me souviens plus des détailstechniques, mais en gros chkrootkit compare la sortie de ps avec le contenud'un répertoire recensant les processus en cours (/proc/ps?), histoire de voir si ps occulte certains résultats.Il suffit que un ou 2 processus soient crées/supprimés entre l'exécution du pset le listing du répertoire. Ça arrive une fois de temps en temps.Si en re-exécutant chkrootkit en console, ça n'apparaît plus, c'est que a priori c'est OK.> Enfin je comprend pkoi il me mail cà , il devrait me sortir les mêmes> résultats en ligne de commande...-- Gurvan Huiban "My mother used to make coffee this way... Hot...Strong... And good."(from "Once upon in the West")
Re: Sarge: chkrootkit problèmes alertes
On Tuesday 20 June 2006 04:34, OXx wrote: > J'utilise chkrootkit > chkrootkit version 0.44 sur une Debian Sarge. > J'ai un problème j'ai reçu dernièrement un mail de ce type: > > /etc/cron.daily/chkrootkit: > You have 2 process hidden for readdir command > You have 2 process hidden for ps command > Warning: Possible LKM Trojan installed > > Lorsque je vais sur la machine et que je relance à la main chkrootkit avec > les même paramètres contenus dans /etc/cron.daily/chkrootkit ou même avec > un chkrootkit -c. > Il me met Nothing found tout est ok... > Quelqu'un a déjà eu un soucis avec de fausses alertes? Ce type de fausse alerte peut arriver. Je ne me souviens plus des détails techniques, mais en gros chkrootkit compare la sortie de ps avec le contenu d'un répertoire recensant les processus en cours (/proc/ps?), histoire de voir si ps occulte certains résultats. Il suffit que un ou 2 processus soient crées/supprimés entre l'exécution du ps et le listing du répertoire. Ça arrive une fois de temps en temps. Si en re-exécutant chkrootkit en console, ça n'apparaît plus, c'est que a priori c'est OK. > Enfin je comprend pkoi il me mail cà , il devrait me sortir les mêmes > résultats en ligne de commande... -- Gurvan Huiban "My mother used to make coffee this way... Hot... Strong... And good."(from "Once upon in the West")
Re: Sarge: chkrootkit problèmes alertes
whoamirootOui2006/6/20, Damien Ulrich < [EMAIL PROTECTED]>:Le Mardi 20 Juin 2006 09:34, OXx a écrit:> Bonjour , Salut,>> J'utilise chkrootkit> chkrootkit version 0.44 sur une Debian Sarge.> J'ai un problème j'ai reçu dernièrement un mail de ce type:>> /etc/cron.daily/chkrootkit:> You have 2 process hidden for readdir command > You have 2 process hidden for ps command> Warning: Possible LKM Trojan installed>> Lorsque je vais sur la machine et que je relance à la main chkrootkit avec> les même paramètres contenus dans /etc/cron.daily/chkrootkit ou même avec > un chkrootkit -c.> Il me met Nothing found tout est ok...Tu le lances en root ?> Quelqu'un a déjà eu un soucis avec de fausses alertes?> Enfin je comprend pkoi il me mail cà , il devrait me sortir les mêmes > résultats en ligne de commande...>> Cordialement> OXx--"Les hommes qui travaillent ne peuvent rêver. Et la sagesse nous vient desrêves."Smohalla, chef indien Sokulls
Re: Sarge: chkrootkit problèmes alertes
Le Mardi 20 Juin 2006 09:34, OXx a écrit : > Bonjour , Salut, > > J'utilise chkrootkit > chkrootkit version 0.44 sur une Debian Sarge. > J'ai un problème j'ai reçu dernièrement un mail de ce type: > > /etc/cron.daily/chkrootkit: > You have 2 process hidden for readdir command > You have 2 process hidden for ps command > Warning: Possible LKM Trojan installed > > Lorsque je vais sur la machine et que je relance à la main chkrootkit avec > les même paramètres contenus dans /etc/cron.daily/chkrootkit ou même avec > un chkrootkit -c. > Il me met Nothing found tout est ok... Tu le lances en root ? > Quelqu'un a déjà eu un soucis avec de fausses alertes? > Enfin je comprend pkoi il me mail cà , il devrait me sortir les mêmes > résultats en ligne de commande... > > Cordialement > OXx -- "Les hommes qui travaillent ne peuvent rêver. Et la sagesse nous vient des rêves." Smohalla, chef indien Sokulls
Sarge: chkrootkit problèmes alertes
Bonjour ,J'utilise chkrootkitchkrootkit version 0.44 sur une Debian Sarge.J'ai un problème j'ai reçu dernièrement un mail de ce type:/etc/cron.daily/chkrootkit:You have 2 process hidden for readdir command You have 2 process hidden for ps commandWarning: Possible LKM Trojan installedLorsque je vais sur la machine et que je relance à la main chkrootkit avec les même paramètres contenus dans /etc/cron.daily/chkrootkit ou même avec un chkrootkit -c. Il me met Nothing found tout est ok...Quelqu'un a déjà eu un soucis avec de fausses alertes?Enfin je comprend pkoi il me mail cà , il devrait me sortir les mêmes résultats en ligne de commande...Cordialement OXx
