[linux] rootkit???

2004-08-17 Par sujet Benoît Barbier 
Salut la liste,

Un chkrootkit me donne:

--8--

Checking `lkm'... You have 2 process hidden for readdir command
You have 2 process hidden for ps command
Warning: Possible LKM Trojan installed


Est-ce que je dois m'inquiéter ou pas?
Comment vérifier la présence d'un mauvais module?

Merci d'avance,


-- 
Benoît


___
Linux Mailing List - http://www.unixtech.be
Subscribe/Unsubscribe: http://www.unixtech.be/mailman/listinfo/linux
Archives: http://www.mail-archive.com/[EMAIL PROTECTED]
IRC: chat.unixtech.be:6667 - #unixtech

RE: [linux] Mutt (la suite)

2004-08-17 Par sujet Dany . VANDERROOST 
Salut?

Es-tu en console pure ou non (WM,KDE,...)?
Si oui, tu as 2 variables d'encodages pour l'ISO (man muttrc  désolé mais je
suis au boulot)
Si non, il faut vérifier l'encodage des consoles et du gestionnaire car le
flux/signal n'est pas tjs réel (ex: aterm et kde).

Dany

-Original Message-
From: [EMAIL PROTECTED] 
[mailto:[EMAIL PROTECTED] On Behalf Of Robert Gielkens
Sent: Monday, August 16, 2004 4:16 PM
To: [EMAIL PROTECTED]
Subject: [linux] Mutt (la suite)


Hello a vous,

Comment je fais en sorte que les gens de cette liste qui ecrivent
avec les caracteres accentues ne rendent pas ma console Mutt
totalement illisible?

Merci,

/Robert

___
Linux Mailing List - http://www.unixtech.be
Subscribe/Unsubscribe: http://www.unixtech.be/mailman/listinfo/linux
Archives: http://www.mail-archive.com/[EMAIL PROTECTED]
IRC: chat.unixtech.be:6667 - #unixtech


___
Linux Mailing List - http://www.unixtech.be
Subscribe/Unsubscribe: http://www.unixtech.be/mailman/listinfo/linux
Archives: http://www.mail-archive.com/[EMAIL PROTECTED]
IRC: chat.unixtech.be:6667 - #unixtech

Re: [linux] rootkit???

2004-08-17 Par sujet Alain EMPAIN 
Benoît Barbier wrote:
Salut la liste,
Un chkrootkit me donne:
--8--
Checking `lkm'... You have 2 process hidden for readdir command
You have 2 process hidden for ps command
Warning: Possible LKM Trojan installed
Est-ce que je dois m'inquiéter ou pas?
Comment vérifier la présence d'un mauvais module?
Merci d'avance,
 

Et oui, cela existe...
Les exécutables les plus concernés sont ceux qui devraient te servir 
d'outil pour détecter une intrusion : ps, ls, find par exemple,dans 
/bin et /sbin.
Ainsi, un 'ps' vérolé semblera fonctionner convenablement mais ... 
omettra de signaler les processus pirates, ou les directories 
litigieuses (comme '/. ', avec un espace après le point)  !

Puisque cela risque d'être fait, tu pourrais comparer ces exécutables 
avec ceux qui sont fournis par la distribution (compare avec une 
installation fraîche sur un PC non connecté...). Pour ma part, 
immédiatement après un install, j'effectue une sauvegarde de ces /bin, 
/sbin, /usr/sbin et /usr/bin afin de les avoir sous la main en cas de doute.
Tu peux utiliser un KNOPPIX pour faire des 'find' incorrptibles.

Mais si tu as fait des upgrades (YOU sous SuSE par ex.) tu risques 
d'observer des différences normales au niveau des exécutables.

Pour la prochaine fois, en prévision, tu peux utiliser tripwire par ex. 
mais je trouve cela quand même lourd.

Je n'ai observé qu'une seule intrusion, sur un NAS préconfiguré 
'tout-ouvert' qui a été contaminé avant que je m'en occupe -- je n'avais 
pas encore eu l'autorisation d'installer un firewall - cela m'a servi 
d'argument sensible pour l'obtenir !

   Bonne recherche.
   Alain
  

--

Dr Alain EMPAIN  [EMAIL PROTECTED] [EMAIL PROTECTED]
 Bioinformatics, Molecular Genetics, 
 Fac. Med. Vet., University of Liège, Belgium
 Bd de Colonster, B43   B-4000 Liège (Sart-Tilman)
WORK: +32 4 366 3821  FAX: +32 4 366 4122
HOME: rue des Martyrs,7  B- 4550 Nandrin   
 +32 85 51 23 41  GSM: +32 497 70 17 64

I worry about my child and the Internet all the time, even though she's
too young to have logged on yet. Here's what I worry about. I worry that
10 or 15 years from now, she will come to me and say 'Daddy, where were
you when they took freedom of the press away from the Internet?' 
--Mike Godwin, Electronic Frontier Foundation 


___
Linux Mailing List - http://www.unixtech.be
Subscribe/Unsubscribe: http://www.unixtech.be/mailman/listinfo/linux
Archives: http://www.mail-archive.com/[EMAIL PROTECTED]
IRC: chat.unixtech.be:6667 - #unixtech