Re: rootkit Jessie?

Le 18/09/2014 11:33, maderios a écrit : Bonjour J'obtiens ceci après avoir lancé Chkrootkit Searching for Suckit rootkit... Warning: /sbin/init INFECTED /sbin/init est un lien symbolique -> /lib/systemd/systemd Un petit tour sur la page des rapports d

Re: rootkit Jessie?

[ Je lis la liste. Pas la peine de me répondre directement et de mettre la liste en CC. ] Le jeudi 18 septembre 2014, 17:50:01 François Boisson a écrit : >[…] > En clair > > ls /proc/123 > > donne que dalle > mais > > ls /proc/123/cmdline > > donne un résultat. > ps se base sur les processus

Re: rootkit Jessie?

En fait, pour ceux que ça interesse, le paquet cacheproc est né sur cette liste. Je vous suggère de lire https://lists.debian.org/debian-user-french/2003/12/msg01134.html et https://lists.debian.org/debian-user-french/2003/12/msg01427.html (lire les deux fils). Nostalgie pour certains surement. Fr

Re: rootkit Jessie?

Le Thu, 18 Sep 2014 16:59:39 +0200 "Sylvain L. Sauvage" a écrit: > Le jeudi 18 septembre 2014, 16:06:28 Serge SMEESTERS a écrit : > >[… find /proc | sed | sh …] > > Et c'est curieux, alors que je cherchais à trouver les PID, > > elles ont finis par disparaître... > > Serions-nous à ce point surve

Re: rootkit Jessie?

Le jeudi 18 septembre 2014, 16:06:28 Serge SMEESTERS a écrit : >[… find /proc | sed | sh …] > Et c'est curieux, alors que je cherchais à trouver les PID, > elles ont finis par disparaître... > Serions-nous à ce point surveillé :) Ce qui serait bien avant d’exécuter (et d’« optimiser ») une comm

Re: rootkit Jessie?

> J'ai donc exécuté la commande suivante : > > find /proc/ -regex '/proc/[0-9]*/cmdline' 2>/dev/null | sed > '1,$s|^/proc/\([0-9]*\)/cmdline$|ps -p \1|g' | sh > > et j'ai 3 lignes >PID TTY TIME CMD > qui se suivent ! Et c'est curieux, alors que je cherchais à trouver les PID, elles on

Re: rootkit Jessie?

> for i in $(seq 1 65536); do ls -l $i/cmdline; done 2> /dev/null | sed -e > '1,$s|^.* \([0-9]*\)/cmdline$|ps -p \1 -o comm=|g' | sh Il me semble qu'il meanque /proc dans ta commande ↑ et aussi qu'un find sera plus rapide... J'ai donc exécuté la commande suivante : find /proc/ -regex '/proc/[

Re: rootkit Jessie?

On 09/18/2014 02:28 PM, Francois Boisson wrote: J'obtiens ceci après avoir lancé Chkrootkit Searching for Suckit rootkit... Warning: /sbin/init INFECTED /sbin/init est un lien symbolique -> /lib/systemd/systemd suckit utilise des processus cachés. Essaye

Re: rootkit Jessie?

Le Thu, 18 Sep 2014 11:33:00 +0200 maderios a écrit: > Bonjour > J'obtiens ceci après avoir lancé Chkrootkit > Searching for Suckit rootkit... Warning: > /sbin/init INFECTED > > /sbin/init est un lien symbolique > -> /lib/systemd

Re: rootkit Jessie?

Le Thu, 18 Sep 2014 14:28:00 +0200 Francois Boisson a écrit: > suckit utilise des processus cachés. Essaye un truc genre > > for i in $(seq 1 65536); do ls -l $i/cmdline; done 2> /dev/null | sed -e '1, > $s|^.* \([0-9]*\)/cmdline$|ps -p \1 -o comm=|g' | sh Flute ps -p PID -o comm= ne fait p

Re: rootkit Jessie?

Salut maderios, On pourrait discuter pour savoir si c'est une bonne chose ou pas mais le projet Debian à en effet décidé d'adopter systemd... https://linuxfr.org/users/elessar/journaux/debian-adopte-systemd-comme-init-par-defaut Sans pouvoir être catégorique, j'ai l'impression Chkrootkit devrait

rootkit Jessie?

Bonjour J'obtiens ceci après avoir lancé Chkrootkit Searching for Suckit rootkit... Warning: /sbin/init INFECTED /sbin/init est un lien symbolique -> /lib/systemd/systemd Rkhunter me donne des warnings pour /sbin /usr/sbin /bin /usr/bin puis ne trou

Re: [HS] Vim, un rootkit qui s'ignore ? (dérivé de "Retrait d'utilisateur...")

On Wed, Jul 24, 2013 at 10:20:21PM +0200, stephane.garg...@laposte.net wrote: > > Poleton d'execution ? Je voulais dire bien sûr : "peloton d'execution". > > J'espère que c'est à quoi est promis à celui qui a fait cette faute... o:-) > Heu, je voulais dire "J'espère que ce n'est pas à quoi est prom

Re: [HS] Vim, un rootkit qui s'ignore ? (dérivé de "Retrait d'utilisateur...")

Bonjour à tous les utilisateurs et développeurs de Debian : Dans mon message du 24/07/13 à 18:24, j'ai écrit : > Poleton d'execution ? Je voulais dire bien sûr : "peloton d'execution". > > J'espère que c'est à quoi est promis à celui qui a fait cette faute... o:-) Heu, je voulais dire "J'espère

Re: [HS] Vim, un rootkit qui s'ignore ? (dérivé de "Retrait d'utilisateur...")

On Wed, Jul 24, 2013 at 06:11:49PM +0200, stephane.garg...@laposte.net wrote: > J'interviens à nouveau dans ce fil car je pense que je > dois apporter quelques eclaircissements (et lever des > éventuels malentendus)... Mon seul reproche à ton intervention, c'est qu'elle rend les débutants enclins

Re: [HS] Vim, un rootkit qui s'ignore ? (dérivé de "Retrait d'utilisateur...")

Hello, Puisque j'ai la responsabilité importante d'être à l'origine de ce "fork" de discussion, je m'en vais répondre à Stéphane. Le 24/07/2013 18:11, stephane.garg...@laposte.net a écrit : Ensuite, même si les réponses d'Yves (Rutschle) et de Sébastien (NOBILI) sont parfaitement bienvenues

Re: [HS] Vim, un rootkit qui s'ignore ? (dérivé de "Retrait d'utilisateur...")

Bonjour à tous les utilisateurs et développeurs de Debian : Dans mon message du 24/07/13 à 18:12, j'ai écrit : > Une dernière chose : Yves, ta dernière sortie sur le pal (réservé aux > adminitrateurs > laxistes ou bordèliques) m'a beaucoup plu (en plus, ça nous change de la > guillotine, > de la

Re: [HS] Vim, un rootkit qui s'ignore ? (dérivé de "Retrait d'utilisateur...")

Bonjour à tous les utilisateurs et développeurs de Debian : Dans son message du 24/07/13 à 15:09, Yves Rutschle a écrit : > Faut arrêter cette discussion, c'est parti d'une > hallucination totale de Stéphane, NON Vim n'est pas un > rootkit et NON on ne peut p

Re: [HS] Vim, un rootkit qui s'ignore ? (dérivé de "Retrait d'utilisateur...")

Le mercredi 24 juillet 2013 à 14:37, andre_deb...@numericable.fr a écrit : > > Ici, ça ouvre bien un terminal, mais de l'utilisateur. Je pense que le > > truc, c'est que l'on peut ensuite se logger en root > > Fait, ça ouvre une console "xterm" en mode utilisateur, > et après, comment se logguer e

Re: [HS] Vim, un rootkit qui s'ignore ? (dérivé de "Retrait d'utilisateur...")

ne hallucination totale de Stéphane, NON Vim n'est pas un rootkit et NON on ne peut pas devenir root avec Vim. À moins que l'administrateur ai fait de très grosses bêtises. Y. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous

Re: [HS] Vim, un rootkit qui s'ignore ? (dérivé de "Retrait d'utilisateur...")

On Tuesday 23 July 2013 06:46:43 Nicolas Pechon wrote: > >> 1. j'ouvre mon éditeur de texte avec la commande "vi file" et, > >> 2. en mode commande, je tape ":!xterm", > >> j'ai un terminal et, tel un vulgaire administrateur, je peux faire ce > >> que je veux de mon GNU/Linux (y compris en tapant

Re: compte sudoer était: [HS] Vim, un rootkit qui s'ignore ? (dérivé de "Retrait d'utilisateur...")

Haricophile wrote on Tue, Jul 23, 2013 at 03:27:00PM +0200 > Le mardi 23 juillet 2013 à 12:24 +0200, Dominique Asselineau a écrit : > > Sébastien NOBILI wrote on Tue, Jul 23, 2013 at 10:09:10AM +0200 > > > Le mardi 23 juillet 2013 à 7:50, stephane.garg...@laposte.net a > > écrit : > > > > Note (su

Re: compte sudoer était: [HS] Vim, un rootkit qui s'ignore ? (dérivé de "Retrait d'utilisateur...")

Le mardi 23 juillet 2013 à 12:24 +0200, Dominique Asselineau a écrit : > Sébastien NOBILI wrote on Tue, Jul 23, 2013 at 10:09:10AM +0200 > > Le mardi 23 juillet 2013 à 7:50, stephane.garg...@laposte.net a > écrit : > > > Note (sur sudo - attention, troll possible) : c'est une des > raisons pour le

compte sudoer était: [HS] Vim, un rootkit qui s'ignore ? (dérivé de "Retrait d'utilisateur...")

Sébastien NOBILI wrote on Tue, Jul 23, 2013 at 10:09:10AM +0200 > Le mardi 23 juillet 2013 à 7:50, stephane.garg...@laposte.net a écrit : > > Note (sur sudo - attention, troll possible) : c'est une des raisons pour > > lesquelles je n'ai pas choisi Ubuntu (ou ses dérivés). o:-) > > J'ai générali

Re: [HS] Vim, un rootkit qui s'ignore ? (dérivé de "Retrait d'utilisateur...")

Bonjour andre_deb...@numericable.fr a écrit : > Je ne comprends pas le mode opératoire ci-dessus : > > on ouvre un fichier inexistant = "vi file", et après on tape ":!xterm" mais > ou, dans une console ? Et si oui ça donne ça :!xterm :xterm bash: :xterm : > commande introuvable > > andré pour

Re: [HS] Vim, un rootkit qui s'ignore ? (dérivé de "Retrait d'utilisateur...")

Le mardi 23 juillet 2013 à 10:41, andre_deb...@numericable.fr a écrit : > Je ne comprends pas le mode opératoire ci-dessus : > > on ouvre un fichier inexistant = "vi file", > et après on tape ":!xterm" mais ou, dans une console ? Non, dans vi, « :! » est la commande vi qui permet de lancer des co

Re: [HS] Vim, un rootkit qui s'ignore ? (dérivé de "Retrait d'utilisateur...")

On Tuesday 23 July 2013 06:46:43 Nicolas Pechon wrote: > >> 1. j'ouvre mon editeur de texte avec la commande "vi file" et, > >> 2. en mode commande, je tape ":!xterm", > >> j'ai un terminal et, tel un vulgaire administrateur, je peux faire ce > >> que je veux de mon GNU/Linux (y compris en tapant

Re: [HS] Vim, un rootkit qui s'ignore ? (dérivé de "Retrait d'utilisateur...")

Le mardi 23 juillet 2013 à 7:50, stephane.garg...@laposte.net a écrit : > Note (sur sudo - attention, troll possible) : c'est une des raisons pour > lesquelles je n'ai pas choisi Ubuntu (ou ses dérivés). o:-) J'ai généralisé l'usage de sudo il y a quelques années et je ne le regrette pas. Parmi

Re: [HS] Vim, un rootkit qui s'ignore ? (dérivé de "Retrait d'utilisateur...")

Bonjour à tous les utilisateurs et développeurs de Debian : Dans son message du 22/07/13 à 20:33, Yves Rutschle a écrit : > > On Mon, Jul 22, 2013 at 08:28:07PM +0200, stephane.garg...@laposte.net > > wrote: > > Dois-je comprendre que si, sous un compte utilisateur (ex. "stephane"), : > > 1. j'ou

Re: [HS] Vim, un rootkit qui s'ignore ? (dérivé de "Retrait d'utilisateur...")

> On Monday 22 July 2013 20:28:07 stephane.garg...@laposte.net wrote: >> Bonjour à tous les utilisateurs et développeurs de Debian : >> Dois-je comprendre que si, sous un compte utilisateur (ex. "stephane"), >> : >> 1. j'ouvre mon éditeur de texte avec la commande "vi file" et, >> 2. en mode c

Re: [HS] Vim, un rootkit qui s'ignore ? (dérivé de "Retrait d'utilisateur...")

On Monday 22 July 2013 20:28:07 stephane.garg...@laposte.net wrote: > Bonjour à tous les utilisateurs et développeurs de Debian : > Dois-je comprendre que si, sous un compte utilisateur (ex. "stephane"), : > 1. j'ouvre mon éditeur de texte avec la commande "vi file" et, > 2. en mode commande, je ta

Re: [HS] Vim, un rootkit qui s'ignore ? (dérivé de "Retrait d'utilisateur...")

inistrateur ai fait une faute > lourde (passible de licenciement et du pal) du genre > chmod u+s /usr/sbin/vigr Ou tout simplement ajouté une ligne dans le /etc/sudoers qui autorise un utilisateur à lancer vi en tant que root facilement (sans mot de passe par exemple). Vi n'est en rie

Re: [HS] Vim, un rootkit qui s'ignore ? (dérivé de "Retrait d'utilisateur...")

On Mon, Jul 22, 2013 at 08:28:07PM +0200, stephane.garg...@laposte.net wrote: > Dois-je comprendre que si, sous un compte utilisateur (ex. "stephane"), : > 1. j'ouvre mon éditeur de texte avec la commande "vi file" et, > 2. en mode commande, je tape ":!xterm", > j'ai un terminal et, tel un vulgaire

[HS] Vim, un rootkit qui s'ignore ? (dérivé de "Retrait d'utilisateur...")

Bonjour à tous les utilisateurs et développeurs de Debian : Dans son message du 22/07/13 à 18:50, ledubdub a écrit : > En général, je n'aime pas les trucs qui encapsulent un "vi" avec le > compte root. > J'ai le souvenir que dans une de mes premières missions c'était le genre > d'outils qu'ils d

Problème de ... clavier/rootkit/su par ssh

Salut à tous. Je vous expose ici un petit souci que je ne sais pas par quel bout prendre (mis à part un tcpdump auquel je vais sûrement me résoudre si je n'ai pas d'autres indices). J'administre un serveur (DomU sur lenny) par ssh. Les sessions ssh s'ouvrent sans soucis, mais quand je fais un "s

Re: Rootkit ?

x27;en débarassé si c'est effectivement un rootkit ? Peut etre pourrais tu comparer le résultat avec rkhunter : http://www.rootkit.nl/downloads/ A+ Sylvain Je viens de le faire, et il ne trouve rien de spécial. Tous les indicateurs sont au vert :) J'avais le rpc.statd qui écoutait sur l

Re: Rootkit ?

ue cela signifie ? comment s'en débarassé si c'est effectivement un rootkit ? Peut etre pourrais tu comparer le résultat avec rkhunter : http://www.rootkit.nl/downloads/ Ou directement en paquet Debian : http://packages.debian.org/rkhunter/ Mais je ne pense pas que cela t'aide be

Re: Rootkit ?

On Fri, Oct 21, 2005 at 10:43:58AM +0200, C. Mourad Jaber wrote : > Bonjour, Bonjour, > J'ai un résultat de chkrootkit qui m'inquiète : > > Checking `bindshell'... INFECTED (PORTS: 600) > > Qu'est-ce que cela signifie ? comment s'en débarassé si c&#

Re: Rootkit ?

C. Mourad Jaber a écrit : Bonjour, J'ai un résultat de chkrootkit qui m'inquiète : Checking `bindshell'... INFECTED (PORTS: 600) Qu'est-ce que cela signifie ? comment s'en débarassé si c'est effectivement un rootkit ? Merci Mourad Il ya quelques petites cho

Re: Rootkit ?

ORTS: 600) > > Qu'est-ce que cela signifie ? comment s'en débarassé si c'est > effectivement un rootkit ? > > Merci > > Mourad > > > -- > Pensez à lire la FAQ de la liste avant de poser une question : > http://wiki.debian.net/?DebianFrench > >

Rootkit ?

Bonjour, J'ai un résultat de chkrootkit qui m'inquiète : Checking `bindshell'... INFECTED (PORTS: 600) Qu'est-ce que cela signifie ? comment s'en débarassé si c'est effectivement un rootkit ? Merci Mourad -- Pensez à lire la FAQ de la liste avan

Re: rootkit?

On 2004-12-24 00:56:51 +0100, Frédéric Bothamy wrote: > Bogue dans le paquet libapache2-mod-perl2 (cf. BTS Debian #277461). Merci. J'avais cherché un bug dans le paquet chkrootkit, mais pas dans libapache2-mod-perl2. -- Vincent Lefèvre <[EMAIL PROTECTED]> - Web: 100% acc

Re: rootkit?

/usr/lib/perl5/Apache2/.arch-ids /usr/lib/perl5/Apache2/ModPerl/.arch-ids > /usr/lib/perl5/Apache2/Apache/.arch-ids > /usr/lib/perl5/Apache2/Apache/PerlSections/.arch-ids > /usr/lib/perl5/Apache2/APR/.arch-ids /usr/lib/perl5/Apache2/Bundle/.arch-ids > /usr/lib/perl5/.arch-ids > >

rootkit?

/perl5/Apache2/Apache/PerlSections/.arch-ids /usr/lib/perl5/Apache2/APR/.arch-ids /usr/lib/perl5/Apache2/Bundle/.arch-ids /usr/lib/perl5/.arch-ids J'ai un rootkit ou s'agit-il d'un faux positif? (Je pense au deuxième cas, mais bon...) -- Vincent Lefèvre <[EMAIL PROTECTED]> - We

Pb de rootkit?...

Bonjour. J'utilise la version officielle de chkrootkit (woody) c.a.d la v0.35. Cette nuit le cron journalier de chkrootkit m'envoie: You have 4 process hidden for readdir command You have 4 process hidden for ps command Warning: Possible LKM Trojan installed eth1 is not promisc ppp0 is