Qui veut du GIMP ???
Le Webring francophone de gimp : http://raymond.ostertag.free.fr/html/webring.html LINUXienment votre Jean-Baptiste Linux-Azur : http://www.linux-azur.org Désinscriptions: http://www.linux-azur.org/liste.php3 Pas de message au format HTML, SVP
RE: Qui veut du GIMP ???
Merci pour tes liens ... -Message d'origine- De : J-B [mailto:[EMAIL PROTECTED] Envoyé : jeudi 11 mars 2004 18:00 À : Linux06@linuxfr.org Objet : Qui veut du GIMP ??? Le Webring francophone de gimp : http://raymond.ostertag.free.fr/html/webring.html LINUXienment votre Jean-Baptiste Linux-Azur : http://www.linux-azur.org Désinscriptions: http://www.linux-azur.org/liste.php3 Pas de message au format HTML, SVP Linux-Azur : http://www.linux-azur.org Désinscriptions: http://www.linux-azur.org/liste.php3 Pas de message au format HTML, SVP
[BRUIT] Aidez moi SVP a faire fonctionner ma carte wireless
Bonjour a tous, Si vous avez ou voulez acheter du materiel a base de chipset Broadcom 4301 (present dans plusieurs materiels de type WIFI par exemple), vous vous retrouverez oblige d'acheter le driver payant linuxant pour faire fonctionner votre materiel sous linux. Un petition est en cours, aidez nous a liberer le code: http://www.petitiononline.com/BCM4301/petition.html Un grand merci a vous, bye Nicolas Gironi Linux-Azur : http://www.linux-azur.org Désinscriptions: http://www.linux-azur.org/liste.php3 Pas de message au format HTML, SVP
Re: [TECH] chkrootkit sur debian
Le Jeudi 11 Mars 2004 10:27, Fabien Germain a écrit :
WouahOuf ! Je vous remerci de toutes vos réponses sur ce sujet mais il
va me falloir une semaine pour étudier si j'ai un moyen de ne pas tout
réinstaller :(((
En fait : je suis parti d'une Woody, j'ai fait un apt-get dist-upgrade
avec que les seules lignes Testing actives dans
mon /etc/apt/sources.list mais pour certains paquets j'ai utilisé
Synaptic plus facile a lire (aurait-il un problème ?).
donc ma question : est-ce grave ou je peu laisser tel quel ma
distrib ? (je n'utilise pas pour le travail mais hoby de retraité)
Je reli plusieurs fois vos réponses pour essayer de comprendre sans
toutefois tester vos commandes pour le moment.
A +
> On Thu, 2004-03-11 at 09:21, Hervé Nicol wrote:
> > Effectivement, comme LKM ("Linux Kernel Module") est un module
> > noyau, une maj noyau peut permettre de s'en débarasser... mais le
> > problème, c'est qu'en général il fait partie d'un rootkit, qui en
> > profite pour modifier la plupart des binaires existants sur le
> > système.
>
> Tripwire permet justement de vérifier ce genre de choses, s'il a été
> installé juste après l'instal/config de Linux sur la machine, et
> avant sa mise sur le réseau.
>
> Fabien
--
Cordialitées ! .O. | Courriel envoyé depuis un système Linux
Pas de message au format HTML, SVP
Linux-Azur : http://www.linux-azur.org
Désinscriptions: http://www.linux-azur.org/liste.php3
Pas de message au format HTML, SVP
RE: [TECH] chkrootkit sur debian
> a propos, est-ce que dpkg propose une option pour verifier > l'integrite des binaires sur un package donne ? a priori j'ai regarder dans les man de dpkg et de apt ... je n'ais rien vu du genre. maintenant peut etre qu'un pacquages additionel permet de le faire mais je ne le connais pas. Aubin Linux-Azur : http://www.linux-azur.org Désinscriptions: http://www.linux-azur.org/liste.php3 Pas de message au format HTML, SVP
RE: [TECH] chkrootkit sur debian
On Thu, 11 Mar 2004, Aubin Galinotti wrote: >Il m'est deja arriver d'avoir un root-kit sur ma machine debian >et ne voulant pas tout reinstaller j'ai appliquer la methode >suivante : > >boot depuis CD d'install debian en mode rescue >mise a jours des binaires bash, apt-get, wget, dpkg depuis une base >saine a propos, est-ce que dpkg propose une option pour verifier l'integrite des binaires sur un package donne ? avec rpm, les commandes suivantes me permettent de savoir si un binaire a ete modifie: [EMAIL PROTECTED] hacked]# rpm -qf /etc/init.d/network initscripts-7.36-2 [EMAIL PROTECTED] hacked]# rpm -qf /etc/init.d/network initscripts-7.36-2 [EMAIL PROTECTED] hacked]# rpm -V initscripts S.5T c /etc/rc.d/rc.local Ici je vois que le rc.local a subit une modification apres l'install du paquet (5 = md5sum, T = time), et ca permet de voir rapidement l'etendue des degats ... Olivier (en supposant que la base rpm n'aie pas ete trafiquee, soit) Linux-Azur : http://www.linux-azur.org Désinscriptions: http://www.linux-azur.org/liste.php3 Pas de message au format HTML, SVP
RE: [TECH] chkrootkit sur debian
> On Thu, 2004-03-11 at 09:21, Hervé Nicol wrote:
> > Effectivement, comme LKM ("Linux Kernel Module") est un module noyau, une
> > maj noyau peut permettre de s'en débarasser... mais le problème, c'est
> > qu'en général il fait partie d'un rootkit, qui en profite pour modifier la
> > plupart des binaires existants sur le système.
Il m'est deja arriver d'avoir un root-kit sur ma machine debian
et ne voulant pas tout reinstaller j'ai appliquer la methode
suivante :
boot depuis CD d'install debian en mode rescue
mise a jours des binaires bash, apt-get, wget, dpkg depuis une base
saine
et ensuite :
chroot
for i in `dpkg -l | cut -d " " -f 3`
do
apt-get install --reinstall $i
done
bon c'est violent, ca prend du temps et il faut une bonne connexion,
mais au moins j'ai fait tourner ca une nuit et au final j'avais tous les
binaires reinstaller, et ma config preservee
par contre attention, ca ne remet que les binaires, si vous avez un
systme qui planque dans un script de demarrage de telecharger le
root-kit et de le reinstaller au reboot ca ne sert a rien...
voila... sinon depuis cet histoire j'utilise le package "aide" pour
surveiller les modifications de fichiers sur ma machine
Aubin
Linux-Azur : http://www.linux-azur.org
Désinscriptions: http://www.linux-azur.org/liste.php3
Pas de message au format HTML, SVP
[BRUIT] délais pour l'ADSL
FT a annoncé officiellement la semaine dernière un délai de retard de câblage de 15 jours en plus des délais normaux annoncés (mais impossible a déterminer) qui sont en général de 10 jours a 3 semaines... 21 jours + 15 jours on est pas loin du délai normal, a peine dépassé, sans compter les week-ends. ceci explique cela. -- Jean-Max Reymond email: [EMAIL PROTECTED] tel: 33 (0)6 16 94 25 11 http://jmreymond.free.fr/Etna2002 Linux-Azur : http://www.linux-azur.org Désinscriptions: http://www.linux-azur.org/liste.php3 Pas de message au format HTML, SVP
RE: [TECH] chkrootkit sur debian
Pour voir ce que sont ces processes cachés: chkrootkit -x [tes options habituelles] |less Tu recherches l'endroit où il parle des 2 process (je crois que c'est à l'exécution de "chkproc -v -v"), et il te donne les PIDs des processes. ... dans /proc/[pid]/ tu as les infos sur le process. Ca te permet d'avoir qq infos sur les processes cachés, mais si il s'avère que c'est réellement quelque chose d'anormal (90% de chances), c'est qu'un LKM est installé. Je ne connais aucun moyen efficace de virer cet intrus. Il faut réinstaller le système pour s'en débarasser. :-/ Bonne chance. -- RV > -Message d'origine- > De : Georges [mailto:[EMAIL PROTECTED] > Envoyé : mercredi 10 mars 2004 18:01 > À : linux06@linuxfr.org > Objet : [TECH] chkrootkit sur debian > > > Bonjour, > La version > Moi $ dpkg -l | grep chkroo > ii chkrootkit 0.43-1 Checks for signs of rootkits on > the local sy > > -alors- Horreur une ligne qui me glace : > > Checking `lkm'... You have 2 process hidden for readdir command > You have 2 process hidden for ps command > Warning: Possible LKM Trojan installed > > Encore des cheveux blanc ... > > Merci de me tranquiliser . GB Linux-Azur : http://www.linux-azur.org Désinscriptions: http://www.linux-azur.org/liste.php3 Pas de message au format HTML, SVP
Re: [TECH] chkrootkit sur debian
On Thu, Mar 11, 2004 at 07:54:22AM -, Hervé Nicol wrote: > > Pour voir ce que sont ces processes cachés: > > chkrootkit -x [tes options habituelles] |less > Tu recherches l'endroit où il parle des 2 process (je crois que c'est à > l'exécution de "chkproc -v -v"), et il te donne les PIDs des processes. > > ... dans /proc/[pid]/ tu as les infos sur le process. > > > Ca te permet d'avoir qq infos sur les processes cachés, mais si il s'avère > que c'est réellement quelque chose d'anormal (90% de chances), c'est qu'un > LKM est installé. > Je ne connais aucun moyen efficace de virer cet intrus. Il faut réinstaller > le système pour s'en débarasser. :-/ mets ton noyau à jour, car sur une machine sur laquelle j'avais ces messages, je ne les ai plus après une mise à jour (pas que du noyau, mais bon) voir : http://www.mail-achive.com/[EMAIL PROTECTED]/msg11673 cherche aussi "lkm false positive" sur google à+ Jérôme Alet Linux-Azur : http://www.linux-azur.org Désinscriptions: http://www.linux-azur.org/liste.php3 Pas de message au format HTML, SVP
RE: [TECH] chkrootkit sur debian
Effectivement, comme LKM ("Linux Kernel Module") est un module noyau, une maj
noyau peut permettre de s'en débarasser... mais le problème, c'est qu'en
général il fait partie d'un rootkit, qui en profite pour modifier la plupart
des binaires existants sur le système.
En trouvant quel rootkit a été installé, et en réinstallant les packages
concernés, on peut sauver une distrib infectée. Mais le problème, c'est qu'on
n'est jamais sur du résultat.
Conseil supplémentaire sur l'utilisation de chkrootkit:
C'est plus sur d'avoir des packages pour chaque distrib, comprenant chkrootkit
+ les binaires qu'il utilise.
Depuis que j'ai infecté tout un système avec des binaires vérolés :( je
n'utilise plus jamais les binaires du système pour exécuter chkrootkit.
--
RV
> -Message d'origine-
> De : Jerome Alet [mailto:[EMAIL PROTECTED]
> Envoyé : jeudi 11 mars 2004 09:08
>
> mets ton noyau à jour, car sur une machine sur laquelle j'avais
> ces messages, je ne les ai plus après une mise à jour (pas que du
> noyau, mais bon)
>
> voir :
>
> http://www.mail-achive.com/[EMAIL PROTECTED]/msg11673
>
> cherche aussi "lkm false positive" sur google
>
> à+
>
> Jérôme Alet
>
> Linux-Azur : http://www.linux-azur.org
> Désinscriptions: http://www.linux-azur.org/liste.php3
> Pas de message au format HTML, SVP
>
Linux-Azur : http://www.linux-azur.org
Désinscriptions: http://www.linux-azur.org/liste.php3
Pas de message au format HTML, SVP
RE: [TECH] chkrootkit sur debian
On Thu, 2004-03-11 at 09:21, Hervé Nicol wrote:
> Effectivement, comme LKM ("Linux Kernel Module") est un module noyau, une maj
> noyau peut permettre de s'en débarasser... mais le problème, c'est qu'en
> général il fait partie d'un rootkit, qui en profite pour modifier la plupart
> des binaires existants sur le système.
Tripwire permet justement de vérifier ce genre de choses, s'il a été
installé juste après l'instal/config de Linux sur la machine, et avant
sa mise sur le réseau.
Fabien
Linux-Azur : http://www.linux-azur.org
Désinscriptions: http://www.linux-azur.org/liste.php3
Pas de message au format HTML, SVP
Re: [BOUFFE] jeudi 11/03, 12h au Méjane (était : [BRUIT] au revoir)
J'arriverai de Vallauris vers 12 h 30. Gardez-moi une place ! Marie-Claude Dugré [EMAIL PROTECTED] - Original Message - From: "Ivan Kanis" <[EMAIL PROTECTED]> To: Sent: Wednesday, March 10, 2004 11:40 AM Subject: Re: [BOUFFE] jeudi 11/03, 12h au Méjane (était : [BRUIT] au revoir) Patrick> Vu que y as que 6 noms il reste peut-être une 'tite place Patrick> pour moi ? +Patrick. J'ai réservé deux places supplémentaires! A+ Ivan -- ,-* |I can live for two months on a compliment| Ivan Kanis| |(Mark Twain) |Software Developper| | |http://www.kanis.cc| *-/ Linux-Azur : http://www.linux-azur.org Désinscriptions: http://www.linux-azur.org/liste.php3 Pas de message au format HTML, SVP Linux-Azur : http://www.linux-azur.org Désinscriptions: http://www.linux-azur.org/liste.php3 Pas de message au format HTML, SVP
[TECH] chkrootkit sur debian
Georges> Moi $ dpkg -l | grep chkroo Georges> ii chkrootkit 0.43-1 Checks for signs of rootkits on the J'ai exactement la même version que toi sous sarge. Georges> Checking `lkm'... You have 2 process hidden for readdir Georges> command You have 2 process hidden for ps command Warning: Georges> Possible LKM Trojan installed Non je n'ai pas ce problême. J'ai compilé mon noyau à la main. Est-ce que tu te sert du noyau qui vient avec Debian ? A+ Ivan -- ,-* | "If the designers of X-Windows built cars, there would || | be no fewer than five steering wheels hidden about | Ivan Kanis| | the cockpit, none of which followed the same | Software Developper| | principles -- but you'd be able to shift gears with| http://www.kanis.cc| | your car stereo. Useful feature, that."|| | (Marus J. Ranum, Digital Equipment Corporation)|| *-/ Linux-Azur : http://www.linux-azur.org Désinscriptions: http://www.linux-azur.org/liste.php3 Pas de message au format HTML, SVP
