Benoît Barbier wrote:
Salut la liste,
Un chkrootkit me donne:
--8--
Checking `lkm'... You have 2 process hidden for readdir command
You have 2 process hidden for ps command
Warning: Possible LKM Trojan installed
Est-ce que je dois m'inquiéter ou pas?
Comment vérifier la présence d'un mauvais module?
Merci d'avance,
Et oui, cela existe...
Les exécutables les plus concernés sont ceux qui devraient te servir
d'outil pour détecter une intrusion : ps, ls, find par exemple,dans
/bin et /sbin.
Ainsi, un 'ps' vérolé semblera fonctionner convenablement mais ...
omettra de signaler les processus pirates, ou les directories
litigieuses (comme '/. ', avec un espace après le point) !
Puisque cela risque d'être fait, tu pourrais comparer ces exécutables
avec ceux qui sont fournis par la distribution (compare avec une
installation fraîche sur un PC non connecté...). Pour ma part,
immédiatement après un install, j'effectue une sauvegarde de ces /bin,
/sbin, /usr/sbin et /usr/bin afin de les avoir sous la main en cas de doute.
Tu peux utiliser un KNOPPIX pour faire des 'find' incorrptibles.
Mais si tu as fait des upgrades (YOU sous SuSE par ex.) tu risques
d'observer des différences normales au niveau des exécutables.
Pour la prochaine fois, en prévision, tu peux utiliser tripwire par ex.
mais je trouve cela quand même lourd.
Je n'ai observé qu'une seule intrusion, sur un NAS préconfiguré
'tout-ouvert' qui a été contaminé avant que je m'en occupe -- je n'avais
pas encore eu l'autorisation d'installer un firewall - cela m'a servi
d'argument sensible pour l'obtenir !
Bonne recherche.
Alain
--
Dr Alain EMPAIN [EMAIL PROTECTED] [EMAIL PROTECTED]
Bioinformatics, Molecular Genetics,
Fac. Med. Vet., University of Liège, Belgium
Bd de Colonster, B43 B-4000 Liège (Sart-Tilman)
WORK: +32 4 366 3821 FAX: +32 4 366 4122
HOME: rue des Martyrs,7 B- 4550 Nandrin
+32 85 51 23 41 GSM: +32 497 70 17 64
I worry about my child and the Internet all the time, even though she's
too young to have logged on yet. Here's what I worry about. I worry that
10 or 15 years from now, she will come to me and say 'Daddy, where were
you when they took freedom of the press away from the Internet?'
--Mike Godwin, Electronic Frontier Foundation
___
Linux Mailing List - http://www.unixtech.be
Subscribe/Unsubscribe: http://www.unixtech.be/mailman/listinfo/linux
Archives: http://www.mail-archive.com/[EMAIL PROTECTED]
IRC: chat.unixtech.be:6667 - #unixtech