Message chkrootkit qui fait peur

Le
giggz
Bonjour la liste,

j'ai depuis quelques temps chkrootkit d'installer. Je n'ai jamais eu de
problème particulier. Mais depuis ce matin j'ai :

/etc/cron.daily/chkrootkit:
The following suspicious files and directories were found:
/usr/lib/xulrunner/.autoreg
/usr/lib/iceweasel/.autoreg
/usr/lib/firefox/.autoreg
/lib/init/rw/.ramfs

You have 1 process hidden for readdir command
You have 1 process hidden for ps command
chkproc: Warning: Possible LKM Trojan installed
eth0: PACKET SNIFFER(/sbin/dhclient3[2997])

J'ai lancé à la main chkrootkit. Il ne trouve rientout est "no
infected". Par contre si je lance à la main /usr/lib/chkrootkit/chkproc
il me trouve 17 processus cachésétrange, non ?

Bref ceci est plutot stressant. J'aimerai savoir comment en savoir plus
la seule chose que j'ai bidouillé depuis hier est la configuration à
internet. j'ai voulu voir si je pouvais me connecter via un proxy. en
fait celui de free.

Merci d'avance
GiGGz


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
giggz
Le #9598641
giggz a écrit :
Bonjour la liste,

j'ai depuis quelques temps chkrootkit d'installer. Je n'ai jamais eu de
problème particulier. Mais depuis ce matin j'ai :

/etc/cron.daily/chkrootkit:
The following suspicious files and directories were found:
/usr/lib/xulrunner/.autoreg
/usr/lib/iceweasel/.autoreg
/usr/lib/firefox/.autoreg
/lib/init/rw/.ramfs

You have 1 process hidden for readdir command
You have 1 process hidden for ps command
chkproc: Warning: Possible LKM Trojan installed
eth0: PACKET SNIFFER(/sbin/dhclient3[2997])

J'ai lancé à la main chkrootkit. Il ne trouve rien...tout est "no
infected". Par contre si je lance à la main /usr/lib/chkrootkit/chkproc
il me trouve 17 processus cachés...étrange, non ?

Bref ceci est plutot stressant. J'aimerai savoir comment en savoir plus...
la seule chose que j'ai bidouillé depuis hier est la configuration à
internet. j'ai voulu voir si je pouvais me connecter via un proxy. en
fait celui de free.

Merci d'avance
GiGGz




Bon j'ai lancé à la main dans une console virtuelle
/usr/lib/chkrootkit/chkproc -v . En ayant pris soin de fermer gdm et
autres trucs inutiles. Il ne me trouve plus qu'un process caché et c'est
cpufreq...
Alors que qd je lance /usr/lib/chkrootkit/chkproc -v sous gnome ou sous
E17 j'ai plusieurs process cachés qui sont "gnome-settings-daemon", les
programmes ouverts sur ma machine (gnome-terminal par exemple). Savez
vous pourquoi ces programmes sont listés comme processus cachés ?

Merci
Guillaume


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
giggz
Le #9598621
giggz a écrit :
giggz a écrit :
Bonjour la liste,

j'ai depuis quelques temps chkrootkit d'installer. Je n'ai jamais eu de
problème particulier. Mais depuis ce matin j'ai :

/etc/cron.daily/chkrootkit:
The following suspicious files and directories were found:
/usr/lib/xulrunner/.autoreg
/usr/lib/iceweasel/.autoreg
/usr/lib/firefox/.autoreg
/lib/init/rw/.ramfs

You have 1 process hidden for readdir command
You have 1 process hidden for ps command
chkproc: Warning: Possible LKM Trojan installed
eth0: PACKET SNIFFER(/sbin/dhclient3[2997])

J'ai lancé à la main chkrootkit. Il ne trouve rien...tout est "no
infected". Par contre si je lance à la main /usr/lib/chkrootkit/chkproc
il me trouve 17 processus cachés...étrange, non ?

Bref ceci est plutot stressant. J'aimerai savoir comment en savoir plus...
la seule chose que j'ai bidouillé depuis hier est la configuration à
internet. j'ai voulu voir si je pouvais me connecter via un proxy. en
fait celui de free.

Merci d'avance
GiGGz




Bon j'ai lancé à la main dans une console virtuelle
/usr/lib/chkrootkit/chkproc -v . En ayant pris soin de fermer gdm et
autres trucs inutiles. Il ne me trouve plus qu'un process caché et c'est
cpufreq...
Alors que qd je lance /usr/lib/chkrootkit/chkproc -v sous gnome ou sous
E17 j'ai plusieurs process cachés qui sont "gnome-settings-daemon", les
programmes ouverts sur ma machine (gnome-terminal par exemple). Savez
vous pourquoi ces programmes sont listés comme processus cachés ?

Merci
Guillaume




Bon j'ai relancé chkrootkit avec le test lkm (celui qui a généré le
warning) et là plus rein d'inquiétant :
ROOTDIR is `/'
Checking `lkm'... chkproc: nothing detected

A votre avis, c'était un faux positif ?

Ciao


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Glennie Vignarajah
Le #9598611
Le Saturday 01 September 2007, giggz(giggz écrit:
Bonjour la liste,



Bonjour,

/etc/cron.daily/chkrootkit:
The following suspicious files and directories were found:
/usr/lib/xulrunner/.autoreg
/usr/lib/iceweasel/.autoreg
/usr/lib/firefox/.autoreg



Ces fichiers semblent être normaux... J'en ai un chez moi, il
fait /usr/lib/iceape/.autoreg(et fait 0 octets). Vérfiez que ces
fichiers ne sont pas fournit pas des packages Debian (ave dlocate)

/lib/init/rw/.ramfs



Pareil. Je l'ai aussi avec une taille 0 octets.

Chkroot est connue pour ses fausses alertes. Essayez
plutôt 'rkhunter'
A+

--
Glennie Vignarajah
http://www.glennie.fr
An undefined problem has an infinite number of solutions.


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
giggz
Le #9598581
Glennie Vignarajah a écrit :
Le Saturday 01 September 2007, giggz(giggz écrit:
Bonjour la liste,



Bonjour,

/etc/cron.daily/chkrootkit:
The following suspicious files and directories were found:
/usr/lib/xulrunner/.autoreg
/usr/lib/iceweasel/.autoreg
/usr/lib/firefox/.autoreg



Ces fichiers semblent être normaux... J'en ai un chez moi, il
fait /usr/lib/iceape/.autoreg(et fait 0 octets). Vérfiez que ces
fichiers ne sont pas fournit pas des packages Debian (ave dlocate)

/lib/init/rw/.ramfs



Pareil. Je l'ai aussi avec une taille 0 octets.

Chkroot est connue pour ses fausses alertes. Essayez
plutôt 'rkhunter'



rhoooo c'est trop beau rkhunter. enfin c'est plus beau chkrootkit...il
ne me détecte rien! alors je l'adopte :p hihi

Merci de ce judicieux conseil!

bon we
GiGGz

A+





--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Julien Valroff
Le #9598571
Le samedi 01 septembre 2007 à 15:45 +0200, Gaëtan PERRIER a écrit :
Le Sat, 01 Sep 2007 15:21:52 +0200
giggz

> rhoooo c'est trop beau rkhunter. enfin c'est plus beau chkrootkit...il
> ne me détecte rien! alors je l'adopte :p hihi
>
> Merci de ce judicieux conseil!
>

Chez moi rkhunter me sort ça à chaque fois:


[...]
Je n'ai jamais trop su quoi en penser?



Lire le fichier de configuration et de le README.Debian ?

@++
Julien



--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Gaëtan PERRIER
Le #9598561
Le Sat, 01 Sep 2007 15:21:52 +0200
giggz

rhoooo c'est trop beau rkhunter. enfin c'est plus beau chkrootkit...il
ne me détecte rien! alors je l'adopte :p hihi

Merci de ce judicieux conseil!




Chez moi rkhunter me sort ça à chaque fois:

Scanning for packet capturing applications... [ Warning! ]
Warning! Found packet capturing application. Please check the logfile.
Scanning for hidden files... [ Warning! ]
-----------------------------------------------------------------

Found warnings:
[03:03:08] Checking for packet capturing applications... Warning
[03:03:09] Warning! Process /usr/sbin/dhcpd3 (6385) listening
[03:03:09] Warning! Process /sbin/dhclient3 (4855) listening
[03:03:10] WARNING, found: /etc/.java (directory) /dev/.static
(directory) /dev/.udev (directory) /dev/.initramfs (directory)

Je n'ai jamais trop su quoi en penser?

Gaëtan


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Glennie Vignarajah
Le #9598541
Le Saturday 01 September 2007, Gaëtan PERRIER(Gaëtan PERRIER

Bonsoir,

Chez moi rkhunter me sort ça à chaque fois:



Found warnings:
[03:03:08] Checking for packet capturing applications... Warning
[03:03:09] Warning! Process /usr/sbin/dhcpd3 (6385) listening
[03:03:09] Warning! Process /sbin/dhclient3 (4855) listening



Ce sont des process normaux si c'est vous qui les avez installés.
Pour les ignorer, il faut ajouter
ALLOWPROCLISTEN=/usr/sbin/dhcpd3
ALLOWPROCLISTEN=/sbin/dhclient3

Dans le fichier /etc/rkhunter.conf
--
Glennie Vignarajah
http://www.glennie.fr
An undefined problem has an infinite number of solutions.


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Gaëtan PERRIER
Le #9598531
Le Sat, 01 Sep 2007 15:49:05 +0200
Julien Valroff
Le samedi 01 septembre 2007 à 15:45 +0200, Gaëtan PERRIER a écrit :
> Le Sat, 01 Sep 2007 15:21:52 +0200
> giggz >
>
> > rhoooo c'est trop beau rkhunter. enfin c'est plus beau chkrootkit...il
> > ne me détecte rien! alors je l'adopte :p hihi
> >
> > Merci de ce judicieux conseil!
> >
>
> Chez moi rkhunter me sort ça à chaque fois:
[...]
> Je n'ai jamais trop su quoi en penser?

Lire le fichier de configuration et de le README.Debian ?

@++
Julien



Oui ce n'est pas bête, il y a effectivement pas mal de choses pertinentes dans
ces fichiers.

Merci.

Gaëtan


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Publicité
Poster une réponse
Anonyme