Re: [TECH] chkrootkit sur debian
Le Jeudi 11 Mars 2004 10:27, Fabien Germain a écrit : WouahOuf ! Je vous remerci de toutes vos réponses sur ce sujet mais il va me falloir une semaine pour étudier si j'ai un moyen de ne pas tout réinstaller :((( En fait : je suis parti d'une Woody, j'ai fait un apt-get dist-upgrade avec que les seules lignes Testing actives dans mon /etc/apt/sources.list mais pour certains paquets j'ai utilisé Synaptic plus facile a lire (aurait-il un problème ?). donc ma question : est-ce grave ou je peu laisser tel quel ma distrib ? (je n'utilise pas pour le travail mais hoby de retraité) Je reli plusieurs fois vos réponses pour essayer de comprendre sans toutefois tester vos commandes pour le moment. A + > On Thu, 2004-03-11 at 09:21, Hervé Nicol wrote: > > Effectivement, comme LKM ("Linux Kernel Module") est un module > > noyau, une maj noyau peut permettre de s'en débarasser... mais le > > problème, c'est qu'en général il fait partie d'un rootkit, qui en > > profite pour modifier la plupart des binaires existants sur le > > système. > > Tripwire permet justement de vérifier ce genre de choses, s'il a été > installé juste après l'instal/config de Linux sur la machine, et > avant sa mise sur le réseau. > > Fabien -- Cordialitées ! .O. | Courriel envoyé depuis un système Linux Pas de message au format HTML, SVP Linux-Azur : http://www.linux-azur.org Désinscriptions: http://www.linux-azur.org/liste.php3 Pas de message au format HTML, SVP
RE: [TECH] chkrootkit sur debian
> a propos, est-ce que dpkg propose une option pour verifier > l'integrite des binaires sur un package donne ? a priori j'ai regarder dans les man de dpkg et de apt ... je n'ais rien vu du genre. maintenant peut etre qu'un pacquages additionel permet de le faire mais je ne le connais pas. Aubin Linux-Azur : http://www.linux-azur.org Désinscriptions: http://www.linux-azur.org/liste.php3 Pas de message au format HTML, SVP
RE: [TECH] chkrootkit sur debian
On Thu, 11 Mar 2004, Aubin Galinotti wrote: >Il m'est deja arriver d'avoir un root-kit sur ma machine debian >et ne voulant pas tout reinstaller j'ai appliquer la methode >suivante : > >boot depuis CD d'install debian en mode rescue >mise a jours des binaires bash, apt-get, wget, dpkg depuis une base >saine a propos, est-ce que dpkg propose une option pour verifier l'integrite des binaires sur un package donne ? avec rpm, les commandes suivantes me permettent de savoir si un binaire a ete modifie: [EMAIL PROTECTED] hacked]# rpm -qf /etc/init.d/network initscripts-7.36-2 [EMAIL PROTECTED] hacked]# rpm -qf /etc/init.d/network initscripts-7.36-2 [EMAIL PROTECTED] hacked]# rpm -V initscripts S.5T c /etc/rc.d/rc.local Ici je vois que le rc.local a subit une modification apres l'install du paquet (5 = md5sum, T = time), et ca permet de voir rapidement l'etendue des degats ... Olivier (en supposant que la base rpm n'aie pas ete trafiquee, soit) Linux-Azur : http://www.linux-azur.org Désinscriptions: http://www.linux-azur.org/liste.php3 Pas de message au format HTML, SVP
RE: [TECH] chkrootkit sur debian
> On Thu, 2004-03-11 at 09:21, Hervé Nicol wrote: > > Effectivement, comme LKM ("Linux Kernel Module") est un module noyau, une > > maj noyau peut permettre de s'en débarasser... mais le problème, c'est > > qu'en général il fait partie d'un rootkit, qui en profite pour modifier la > > plupart des binaires existants sur le système. Il m'est deja arriver d'avoir un root-kit sur ma machine debian et ne voulant pas tout reinstaller j'ai appliquer la methode suivante : boot depuis CD d'install debian en mode rescue mise a jours des binaires bash, apt-get, wget, dpkg depuis une base saine et ensuite : chroot for i in `dpkg -l | cut -d " " -f 3` do apt-get install --reinstall $i done bon c'est violent, ca prend du temps et il faut une bonne connexion, mais au moins j'ai fait tourner ca une nuit et au final j'avais tous les binaires reinstaller, et ma config preservee par contre attention, ca ne remet que les binaires, si vous avez un systme qui planque dans un script de demarrage de telecharger le root-kit et de le reinstaller au reboot ca ne sert a rien... voila... sinon depuis cet histoire j'utilise le package "aide" pour surveiller les modifications de fichiers sur ma machine Aubin Linux-Azur : http://www.linux-azur.org Désinscriptions: http://www.linux-azur.org/liste.php3 Pas de message au format HTML, SVP
RE: [TECH] chkrootkit sur debian
Pour voir ce que sont ces processes cachés: chkrootkit -x [tes options habituelles] |less Tu recherches l'endroit où il parle des 2 process (je crois que c'est à l'exécution de "chkproc -v -v"), et il te donne les PIDs des processes. ... dans /proc/[pid]/ tu as les infos sur le process. Ca te permet d'avoir qq infos sur les processes cachés, mais si il s'avère que c'est réellement quelque chose d'anormal (90% de chances), c'est qu'un LKM est installé. Je ne connais aucun moyen efficace de virer cet intrus. Il faut réinstaller le système pour s'en débarasser. :-/ Bonne chance. -- RV > -Message d'origine- > De : Georges [mailto:[EMAIL PROTECTED] > Envoyé : mercredi 10 mars 2004 18:01 > À : linux06@linuxfr.org > Objet : [TECH] chkrootkit sur debian > > > Bonjour, > La version > Moi $ dpkg -l | grep chkroo > ii chkrootkit 0.43-1 Checks for signs of rootkits on > the local sy > > -alors- Horreur une ligne qui me glace : > > Checking `lkm'... You have 2 process hidden for readdir command > You have 2 process hidden for ps command > Warning: Possible LKM Trojan installed > > Encore des cheveux blanc ... > > Merci de me tranquiliser . GB Linux-Azur : http://www.linux-azur.org Désinscriptions: http://www.linux-azur.org/liste.php3 Pas de message au format HTML, SVP
Re: [TECH] chkrootkit sur debian
On Thu, Mar 11, 2004 at 07:54:22AM -, Hervé Nicol wrote: > > Pour voir ce que sont ces processes cachés: > > chkrootkit -x [tes options habituelles] |less > Tu recherches l'endroit où il parle des 2 process (je crois que c'est à > l'exécution de "chkproc -v -v"), et il te donne les PIDs des processes. > > ... dans /proc/[pid]/ tu as les infos sur le process. > > > Ca te permet d'avoir qq infos sur les processes cachés, mais si il s'avère > que c'est réellement quelque chose d'anormal (90% de chances), c'est qu'un > LKM est installé. > Je ne connais aucun moyen efficace de virer cet intrus. Il faut réinstaller > le système pour s'en débarasser. :-/ mets ton noyau à jour, car sur une machine sur laquelle j'avais ces messages, je ne les ai plus après une mise à jour (pas que du noyau, mais bon) voir : http://www.mail-achive.com/[EMAIL PROTECTED]/msg11673 cherche aussi "lkm false positive" sur google à+ Jérôme Alet Linux-Azur : http://www.linux-azur.org Désinscriptions: http://www.linux-azur.org/liste.php3 Pas de message au format HTML, SVP
RE: [TECH] chkrootkit sur debian
Effectivement, comme LKM ("Linux Kernel Module") est un module noyau, une maj noyau peut permettre de s'en débarasser... mais le problème, c'est qu'en général il fait partie d'un rootkit, qui en profite pour modifier la plupart des binaires existants sur le système. En trouvant quel rootkit a été installé, et en réinstallant les packages concernés, on peut sauver une distrib infectée. Mais le problème, c'est qu'on n'est jamais sur du résultat. Conseil supplémentaire sur l'utilisation de chkrootkit: C'est plus sur d'avoir des packages pour chaque distrib, comprenant chkrootkit + les binaires qu'il utilise. Depuis que j'ai infecté tout un système avec des binaires vérolés :( je n'utilise plus jamais les binaires du système pour exécuter chkrootkit. -- RV > -Message d'origine- > De : Jerome Alet [mailto:[EMAIL PROTECTED] > Envoyé : jeudi 11 mars 2004 09:08 > > mets ton noyau à jour, car sur une machine sur laquelle j'avais > ces messages, je ne les ai plus après une mise à jour (pas que du > noyau, mais bon) > > voir : > > http://www.mail-achive.com/[EMAIL PROTECTED]/msg11673 > > cherche aussi "lkm false positive" sur google > > à+ > > Jérôme Alet > > Linux-Azur : http://www.linux-azur.org > Désinscriptions: http://www.linux-azur.org/liste.php3 > Pas de message au format HTML, SVP > Linux-Azur : http://www.linux-azur.org Désinscriptions: http://www.linux-azur.org/liste.php3 Pas de message au format HTML, SVP
RE: [TECH] chkrootkit sur debian
On Thu, 2004-03-11 at 09:21, Hervé Nicol wrote: > Effectivement, comme LKM ("Linux Kernel Module") est un module noyau, une maj > noyau peut permettre de s'en débarasser... mais le problème, c'est qu'en > général il fait partie d'un rootkit, qui en profite pour modifier la plupart > des binaires existants sur le système. Tripwire permet justement de vérifier ce genre de choses, s'il a été installé juste après l'instal/config de Linux sur la machine, et avant sa mise sur le réseau. Fabien Linux-Azur : http://www.linux-azur.org Désinscriptions: http://www.linux-azur.org/liste.php3 Pas de message au format HTML, SVP
Re: [TECH] chkrootkit sur debian
salut je viens de le passer sur ma debian. il en a trouve 13 :/ meme version de chkrootkit que toi. une petite recherche sur mon ami google et il semble bien qu'il y ai un soucis, mqis il semble qu'il n'y ai personne qui ai ouvert de bug chez debian. A+ nico Georges wrote: Bonjour, La version Moi $ dpkg -l | grep chkroo ii chkrootkit 0.43-1 Checks for signs of rootkits on the local sy -alors- Horreur une ligne qui me glace : Checking `lkm'... You have 2 process hidden for readdir command You have 2 process hidden for ps command Warning: Possible LKM Trojan installed Encore des cheveux blanc ... Merci de me tranquiliser . GB Linux-Azur : http://www.linux-azur.org Désinscriptions: http://www.linux-azur.org/liste.php3 Pas de message au format HTML, SVP Linux-Azur : http://www.linux-azur.org Désinscriptions: http://www.linux-azur.org/liste.php3 Pas de message au format HTML, SVP
Re: [TECH] chkrootkit sur debian
tiens quelque chose de resemblant http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=230907 tu aurais pas de java qui tourne ou bien un mozilla qui aurais ete sur un site avec une applet ? /nico Georges wrote: Bonjour, La version Moi $ dpkg -l | grep chkroo ii chkrootkit 0.43-1 Checks for signs of rootkits on the local sy -alors- Horreur une ligne qui me glace : Checking `lkm'... You have 2 process hidden for readdir command You have 2 process hidden for ps command Warning: Possible LKM Trojan installed Encore des cheveux blanc ... Merci de me tranquiliser . GB Linux-Azur : http://www.linux-azur.org Désinscriptions: http://www.linux-azur.org/liste.php3 Pas de message au format HTML, SVP Linux-Azur : http://www.linux-azur.org Désinscriptions: http://www.linux-azur.org/liste.php3 Pas de message au format HTML, SVP
Re: [TECH] chkrootkit sur debian
On Wed, Mar 10, 2004 at 10:08:10PM +0100, Nicolas Gironi wrote: > tiens quelque chose de resemblant > > http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=230907 > > tu aurais pas de java qui tourne ou bien un mozilla qui aurais ete sur > un site avec une applet ? je croyais avoir lu que c'était dû à des process internes au noyau j'ai un truc similaire, et quand j'avais cherché j'en avais conclus que c'était pas grave à+ Jérôme Alet Linux-Azur : http://www.linux-azur.org Désinscriptions: http://www.linux-azur.org/liste.php3 Pas de message au format HTML, SVP