Salut,
j'ai une Fedora Core 2 Linux et récemment j'ai détecté que les binaires
ps, netstat avaient été modifiés (lors d'un backup) alors que je n'avais
pas fait de mise à jour du système (même pas de maj auto).
En comparant avec les binaires officiels, le hash md5 est différent.
Qqn connaîtrait un antivirus ou antirootkit capable de les détecter ?
Je ne sais pas si désassembler les binaires en question va me donner qqch.
Qqn connaîtrait un antivirus ou antirootkit capable de les détecter ? Je ne sais pas si désassembler les binaires en question va me donner qqch.
chkrootkit (<http://www.chkrootkit.org/>)
Cela permet de détecter le plus gros. Mais sur un système compromis, il vaut mieux démonter le disque et l'analyser sur une autre machine, car il se peut que le r00tkit soit non repérable (exemple: noyau modifié).
Bengali wrote:
Qqn connaîtrait un antivirus ou antirootkit capable de les détecter ?
Je ne sais pas si désassembler les binaires en question va me donner qqch.
chkrootkit (<http://www.chkrootkit.org/>)
Cela permet de détecter le plus gros. Mais sur un système compromis, il
vaut mieux démonter le disque et l'analyser sur une autre machine, car
il se peut que le r00tkit soit non repérable (exemple: noyau modifié).
Qqn connaîtrait un antivirus ou antirootkit capable de les détecter ? Je ne sais pas si désassembler les binaires en question va me donner qqch.
chkrootkit (<http://www.chkrootkit.org/>)
Cela permet de détecter le plus gros. Mais sur un système compromis, il vaut mieux démonter le disque et l'analyser sur une autre machine, car il se peut que le r00tkit soit non repérable (exemple: noyau modifié).
Jean-Francois BILLAUD
Bengali écrivait :
Salut,
Bonjour,
j'ai une Fedora Core 2 Linux et récemment j'ai détecté que les binaires ps, netstat avaient été modifiés (lors d'un backup) alors que je n'avais pas fait de mise à jour du système (même pas de maj auto). En comparant avec les binaires officiels, le hash md5 est différent. Qqn connaîtrait un antivirus ou antirootkit capable de les détecter ?
Voir aussi f-prot pour Linux (gratuit pour les particuliers) ftp://ftp.f-prot.com/pub/linux/
Je ne sais pas si désassembler les binaires en question va me donner qqch.
Ça peut donner un mal de tête.
JFB
-- Qu'importe le flocon pourvu qu'on ait l'Everest.
Bengali écrivait :
Salut,
Bonjour,
j'ai une Fedora Core 2 Linux et récemment j'ai détecté que les binaires
ps, netstat avaient été modifiés (lors d'un backup) alors que je n'avais
pas fait de mise à jour du système (même pas de maj auto).
En comparant avec les binaires officiels, le hash md5 est différent.
Qqn connaîtrait un antivirus ou antirootkit capable de les détecter ?
j'ai une Fedora Core 2 Linux et récemment j'ai détecté que les binaires ps, netstat avaient été modifiés (lors d'un backup) alors que je n'avais pas fait de mise à jour du système (même pas de maj auto). En comparant avec les binaires officiels, le hash md5 est différent. Qqn connaîtrait un antivirus ou antirootkit capable de les détecter ?
Voir aussi f-prot pour Linux (gratuit pour les particuliers) ftp://ftp.f-prot.com/pub/linux/
Je ne sais pas si désassembler les binaires en question va me donner qqch.
Ça peut donner un mal de tête.
JFB
-- Qu'importe le flocon pourvu qu'on ait l'Everest.
Gilles RONSIN
Bengali , le mar. 22 févr. 2005 23:58:46, écrivait ceci:
Salut,
Salut,
j'ai une Fedora Core 2 Linux et récemment j'ai détecté que les binaires ps, netstat avaient été modifiés (lors d'un backup) alors que je n'avais pas fait de mise à jour du système (même pas de maj auto). En comparant avec les binaires officiels, le hash md5 est différent. Qqn connaîtrait un antivirus ou antirootkit capable de les détecter ? Je ne sais pas si désassembler les binaires en question va me donner qqch.
tout nouveau rootkitrevealer chez sysinternals http://www.sysinternals.com
-- Embryon de site : http://gilles.ronsin.free.fr Nouvelle astuce : Script de création de raccourcis cible http://gilles.ronsin.free.fr/#targetlnk Il est impossible pour un optimiste d'être agréablement surpris.
Bengali <news.20.bengali@spamgourmet.com>, le mar. 22 févr. 2005
23:58:46, écrivait ceci:
Salut,
Salut,
j'ai une Fedora Core 2 Linux et récemment j'ai détecté que les
binaires ps, netstat avaient été modifiés (lors d'un backup) alors
que je n'avais pas fait de mise à jour du système (même pas de maj
auto). En comparant avec les binaires officiels, le hash md5 est
différent. Qqn connaîtrait un antivirus ou antirootkit capable de
les détecter ? Je ne sais pas si désassembler les binaires en
question va me donner qqch.
tout nouveau rootkitrevealer chez sysinternals
http://www.sysinternals.com
--
Embryon de site : http://gilles.ronsin.free.fr
Nouvelle astuce : Script de création de raccourcis cible
http://gilles.ronsin.free.fr/#targetlnk
Il est impossible pour un optimiste d'être agréablement surpris.
Bengali , le mar. 22 févr. 2005 23:58:46, écrivait ceci:
Salut,
Salut,
j'ai une Fedora Core 2 Linux et récemment j'ai détecté que les binaires ps, netstat avaient été modifiés (lors d'un backup) alors que je n'avais pas fait de mise à jour du système (même pas de maj auto). En comparant avec les binaires officiels, le hash md5 est différent. Qqn connaîtrait un antivirus ou antirootkit capable de les détecter ? Je ne sais pas si désassembler les binaires en question va me donner qqch.
tout nouveau rootkitrevealer chez sysinternals http://www.sysinternals.com
-- Embryon de site : http://gilles.ronsin.free.fr Nouvelle astuce : Script de création de raccourcis cible http://gilles.ronsin.free.fr/#targetlnk Il est impossible pour un optimiste d'être agréablement surpris.
LaDDL
On 22 Feb 2005 22:58:46 GMT, Bengali wrote:
Salut,
Bonjour,
j'ai une Fedora Core 2 Linux et récemment j'ai détecté que les binaires ps, netstat avaient été modifiés (lors d'un backup) alors que je n'avais pas fait de mise à jour du système (même pas de maj auto). En comparant avec les binaires officiels, le hash md5 est différent. Qqn connaîtrait un antivirus ou antirootkit capable de les détecter ?
En dehors de ceux cités précédemment par les autres intervenants : Rkdet : http://vancouver-webpages.com/rkdet/
Je ne sais pas si désassembler les binaires en question va me donner qqch.
Orientes-toi alors vers Tripwire ou AIDE.
On 22 Feb 2005 22:58:46 GMT, Bengali <news.20.bengali@spamgourmet.com>
wrote:
Salut,
Bonjour,
j'ai une Fedora Core 2 Linux et récemment j'ai détecté que les binaires
ps, netstat avaient été modifiés (lors d'un backup) alors que je n'avais
pas fait de mise à jour du système (même pas de maj auto).
En comparant avec les binaires officiels, le hash md5 est différent.
Qqn connaîtrait un antivirus ou antirootkit capable de les détecter ?
En dehors de ceux cités précédemment par les autres intervenants :
Rkdet : http://vancouver-webpages.com/rkdet/
Je ne sais pas si désassembler les binaires en question va me donner
qqch.
j'ai une Fedora Core 2 Linux et récemment j'ai détecté que les binaires ps, netstat avaient été modifiés (lors d'un backup) alors que je n'avais pas fait de mise à jour du système (même pas de maj auto). En comparant avec les binaires officiels, le hash md5 est différent. Qqn connaîtrait un antivirus ou antirootkit capable de les détecter ?
En dehors de ceux cités précédemment par les autres intervenants : Rkdet : http://vancouver-webpages.com/rkdet/
Je ne sais pas si désassembler les binaires en question va me donner qqch.
Orientes-toi alors vers Tripwire ou AIDE.
Nicob
On Wed, 23 Feb 2005 15:04:37 +0000, LaDDL wrote:
En dehors de ceux cités précédemment par les autres intervenants : Rkdet : http://vancouver-webpages.com/rkdet/
Y avait peut-être une bonne raison pour le pas citer, non ?
"This program is a daemon intended to catch someone *installing* a rootkit or running a packet sniffer. [...] chkrootkit is a tool for detecting a rootkit after the fact (it does not need to be run first, like rkdet or tripwire)"
Nicob
On Wed, 23 Feb 2005 15:04:37 +0000, LaDDL wrote:
En dehors de ceux cités précédemment par les autres intervenants :
Rkdet : http://vancouver-webpages.com/rkdet/
Y avait peut-être une bonne raison pour le pas citer, non ?
"This program is a daemon intended to catch someone *installing* a rootkit
or running a packet sniffer. [...] chkrootkit is a tool for detecting a
rootkit after the fact (it does not need to be run first, like rkdet or
tripwire)"
En dehors de ceux cités précédemment par les autres intervenants : Rkdet : http://vancouver-webpages.com/rkdet/
Y avait peut-être une bonne raison pour le pas citer, non ?
"This program is a daemon intended to catch someone *installing* a rootkit or running a packet sniffer. [...] chkrootkit is a tool for detecting a rootkit after the fact (it does not need to be run first, like rkdet or tripwire)"
Nicob
Nicob
On Wed, 23 Feb 2005 13:37:16 +0000, Gilles RONSIN wrote:
j'ai une Fedora Core 2 Linux
tout nouveau rootkitrevealer chez sysinternals http://www.sysinternals.com
Legère incompatibilité ;-)
Nicob
On Wed, 23 Feb 2005 13:37:16 +0000, Gilles RONSIN wrote:
j'ai une Fedora Core 2 Linux
tout nouveau rootkitrevealer chez sysinternals http://www.sysinternals.com
On Wed, 23 Feb 2005 13:37:16 +0000, Gilles RONSIN wrote:
j'ai une Fedora Core 2 Linux
tout nouveau rootkitrevealer chez sysinternals http://www.sysinternals.com
Legère incompatibilité ;-)
Nicob
LaDDL
On 24 Feb 2005 00:38:03 GMT, Nicob wrote:
On Wed, 23 Feb 2005 15:04:37 +0000, LaDDL wrote:
En dehors de ceux cités précédemment par les autres intervenants : Rkdet : http://vancouver-webpages.com/rkdet/
Y avait peut-être une bonne raison pour le pas citer, non ?
"This program is a daemon intended to catch someone *installing* a rootkit or running a packet sniffer. [...] chkrootkit is a tool for detecting a rootkit after the fact (it does not need to be run first, like rkdet or tripwire)"
Je trouve que c'est une bonne alternative face aux détecteurs de rootkits (cf rkhunter et chkrootkit déjà cités dans le thread). Maintenant tout dépend de son besoin et des obligations de fonctionnement de son système : - soit il veut contrôler son système à la demande (dirons-nous) => il privilégiera Tripwire ou Rkhunter ou etc. - soit il veut surveiller l'intégrité de son système en temps réel et pouvoir prendre les mesures qui s'imposent => il privilégiera Rkdet.
On 24 Feb 2005 00:38:03 GMT, Nicob <nicob@I.hate.spammers.com> wrote:
On Wed, 23 Feb 2005 15:04:37 +0000, LaDDL wrote:
En dehors de ceux cités précédemment par les autres intervenants :
Rkdet : http://vancouver-webpages.com/rkdet/
Y avait peut-être une bonne raison pour le pas citer, non ?
"This program is a daemon intended to catch someone *installing* a
rootkit
or running a packet sniffer. [...] chkrootkit is a tool for detecting a
rootkit after the fact (it does not need to be run first, like rkdet or
tripwire)"
Je trouve que c'est une bonne alternative face aux détecteurs de rootkits
(cf rkhunter et chkrootkit déjà cités dans le thread). Maintenant tout
dépend de son besoin et des obligations de fonctionnement de son système :
- soit il veut contrôler son système à la demande (dirons-nous) => il
privilégiera Tripwire ou Rkhunter ou etc.
- soit il veut surveiller l'intégrité de son système en temps réel et
pouvoir prendre les mesures qui s'imposent => il privilégiera Rkdet.
En dehors de ceux cités précédemment par les autres intervenants : Rkdet : http://vancouver-webpages.com/rkdet/
Y avait peut-être une bonne raison pour le pas citer, non ?
"This program is a daemon intended to catch someone *installing* a rootkit or running a packet sniffer. [...] chkrootkit is a tool for detecting a rootkit after the fact (it does not need to be run first, like rkdet or tripwire)"
Je trouve que c'est une bonne alternative face aux détecteurs de rootkits (cf rkhunter et chkrootkit déjà cités dans le thread). Maintenant tout dépend de son besoin et des obligations de fonctionnement de son système : - soit il veut contrôler son système à la demande (dirons-nous) => il privilégiera Tripwire ou Rkhunter ou etc. - soit il veut surveiller l'intégrité de son système en temps réel et pouvoir prendre les mesures qui s'imposent => il privilégiera Rkdet.
Gilles RONSIN
Nicob , le jeu. 24 févr. 2005 01:38:34, écrivait ceci:
On Wed, 23 Feb 2005 13:37:16 +0000, Gilles RONSIN wrote:
j'ai une Fedora Core 2 Linux
tout nouveau rootkitrevealer chez sysinternals http://www.sysinternals.com
Legère incompatibilité ;-)
oops. Désolé. Mais pour les Windows NT c'est tout de même une nouveauté.
-- Embryon de site : http://gilles.ronsin.free.fr Nouvelle astuce : Script de création de raccourcis cible http://gilles.ronsin.free.fr/#targetlnk Il est impossible pour un optimiste d'être agréablement surpris.
Nicob <nicob@I.hate.spammers.com>, le jeu. 24 févr. 2005 01:38:34,
écrivait ceci:
On Wed, 23 Feb 2005 13:37:16 +0000, Gilles RONSIN wrote:
j'ai une Fedora Core 2 Linux
tout nouveau rootkitrevealer chez sysinternals
http://www.sysinternals.com
Legère incompatibilité ;-)
oops. Désolé. Mais pour les Windows NT c'est tout de même une
nouveauté.
--
Embryon de site : http://gilles.ronsin.free.fr
Nouvelle astuce : Script de création de raccourcis cible
http://gilles.ronsin.free.fr/#targetlnk
Il est impossible pour un optimiste d'être agréablement surpris.
Nicob , le jeu. 24 févr. 2005 01:38:34, écrivait ceci:
On Wed, 23 Feb 2005 13:37:16 +0000, Gilles RONSIN wrote:
j'ai une Fedora Core 2 Linux
tout nouveau rootkitrevealer chez sysinternals http://www.sysinternals.com
Legère incompatibilité ;-)
oops. Désolé. Mais pour les Windows NT c'est tout de même une nouveauté.
-- Embryon de site : http://gilles.ronsin.free.fr Nouvelle astuce : Script de création de raccourcis cible http://gilles.ronsin.free.fr/#targetlnk Il est impossible pour un optimiste d'être agréablement surpris.
Nicob
On Thu, 24 Feb 2005 10:27:00 +0000, LaDDL wrote:
- soit il veut contrôler son système à la demande (dirons-nous) => il privilégiera Tripwire ou Rkhunter ou etc. - soit il veut surveiller l'intégrité de son système en temps réel et pouvoir prendre les mesures qui s'imposent => il privilégiera Rkdet.
Je ne ferais pas la différence entre les deux sortes de produits de cette façon ...
Pour moi, il y a ceux qui nécessitent un travail à priori (définition d'une baseline ou installation d'outils de monitoring temps-réel) parmi lesquels Tripwire et Rkdet, et ceux qui interviennent à postériori (souvent par comparaison entre les informations visibles en user-land et celles obtenues en "raw" auprès du kernel), dont j'ai donné une liste.
Et vu que le post originel parlait de tests réalisables à postériori ...
Nicob
On Thu, 24 Feb 2005 10:27:00 +0000, LaDDL wrote:
- soit il veut contrôler son système à la demande (dirons-nous) => il
privilégiera Tripwire ou Rkhunter ou etc. - soit il veut surveiller
l'intégrité de son système en temps réel et pouvoir prendre les
mesures qui s'imposent => il privilégiera Rkdet.
Je ne ferais pas la différence entre les deux sortes de produits de cette
façon ...
Pour moi, il y a ceux qui nécessitent un travail à priori (définition
d'une baseline ou installation d'outils de monitoring temps-réel) parmi
lesquels Tripwire et Rkdet, et ceux qui interviennent à postériori
(souvent par comparaison entre les informations visibles en user-land et
celles obtenues en "raw" auprès du kernel), dont j'ai donné une liste.
Et vu que le post originel parlait de tests réalisables à postériori ...
- soit il veut contrôler son système à la demande (dirons-nous) => il privilégiera Tripwire ou Rkhunter ou etc. - soit il veut surveiller l'intégrité de son système en temps réel et pouvoir prendre les mesures qui s'imposent => il privilégiera Rkdet.
Je ne ferais pas la différence entre les deux sortes de produits de cette façon ...
Pour moi, il y a ceux qui nécessitent un travail à priori (définition d'une baseline ou installation d'outils de monitoring temps-réel) parmi lesquels Tripwire et Rkdet, et ceux qui interviennent à postériori (souvent par comparaison entre les informations visibles en user-land et celles obtenues en "raw" auprès du kernel), dont j'ai donné une liste.
Et vu que le post originel parlait de tests réalisables à postériori ...
