aujourd'hui en lançant un chkrootit j'ai eu un résultat que je ne
n'avais jamais vu auparavent :
"Checking `lkm'... You have 10 process hidden for readdir command
You have 10 process hidden for ps command
Warning: Possible LKM Trojan installed"
J'ai fait une petite recherche sur google mais qui m'a peu aidé notament
quelqu'un ayant eu un problème similaire a fait un chrootkit -x lkm afin
de vérifier quels processus étaient fautifs.
Dans mon cas il semble que mozilla-firefox et thunderbird soient les
fautifs :
PID 2855: not in readdir output
PID 2855: not in ps output
CWD 2855: /home/pingu
EXE 2855: /usr/lib/mozilla-firefox/firefox-bin
PID 2859: not in readdir output
PID 2859: not in ps output
CWD 2859: /home/pingu
EXE 2859: /usr/lib/mozilla-firefox/firefox-bin
PID 3807: not in readdir output
PID 3807: not in ps output
CWD 3807: /home/pingu
EXE 3807: /usr/lib/mozilla-thunderbird/mozilla-thunderbird-bin
PID 3809: not in readdir output
PID 3809: not in ps output
CWD 3809: /home/pingu
EXE 3809: /usr/lib/mozilla-thunderbird/mozilla-thunderbird-bin
PID 3814: not in readdir output
PID 3814: not in ps output
CWD 3814: /home/pingu
EXE 3814: /usr/lib/mozilla-thunderbird/mozilla-thunderbird-bin
You have 5 process hidden for readdir command
You have 5 process hidden for ps command
Le nombre de process varie de 5 à 10
j'ai aussi fait un nestat -taupn comme la personne qui avait ce problème
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Jerome Lambert
Le Wed, 28 Jul 2004 15:33:02 +0200, pingu-en-banquise-moOolante a écrit :
Bonjour à tous,
Bonjour,
(snip)
Quelqu'un peut il m'indiquer un newsgroup plus adapté si je suis à côté de la plaque ici
fr.comp.securite me semble plus adapté à votre probleme...
(...)
-- Jerome "Moi, je trouve ça rigolo quand y a un truc qui marche pas avec Linux. Chercher à le faire marcher m'amuse beaucoup. C'est mieux qu'un jeu vidéo." M. in fr.comp.os.linux.debats
Le Wed, 28 Jul 2004 15:33:02 +0200, pingu-en-banquise-moOolante a
écrit :
Bonjour à tous,
Bonjour,
(snip)
Quelqu'un peut il m'indiquer un newsgroup plus adapté si je suis à côté
de la plaque ici
fr.comp.securite me semble plus adapté à votre probleme...
(...)
--
Jerome
"Moi, je trouve ça rigolo quand y a un truc qui marche pas avec Linux.
Chercher à le faire marcher m'amuse beaucoup. C'est mieux qu'un jeu vidéo."
M. in fr.comp.os.linux.debats
Le Wed, 28 Jul 2004 15:33:02 +0200, pingu-en-banquise-moOolante a écrit :
Bonjour à tous,
Bonjour,
(snip)
Quelqu'un peut il m'indiquer un newsgroup plus adapté si je suis à côté de la plaque ici
fr.comp.securite me semble plus adapté à votre probleme...
(...)
-- Jerome "Moi, je trouve ça rigolo quand y a un truc qui marche pas avec Linux. Chercher à le faire marcher m'amuse beaucoup. C'est mieux qu'un jeu vidéo." M. in fr.comp.os.linux.debats
pingu-en-banquise-moOolante
Le Wed, 28 Jul 2004 15:33:02 +0200, pingu-en-banquise-moOolante a
Bonjour à tous,
Bonjour,
(snip)
Quelqu'un peut il m'indiquer un newsgroup plus adapté si je suis à côté de la plaque ici
fr.comp.securite me semble plus adapté à votre probleme...
(...)
Merci apparement je ne suis pas le seul cela semble être un faux positif du au noyau 2.6.x
Pingu-en-banquise-moOolante
Le Wed, 28 Jul 2004 15:33:02 +0200, pingu-en-banquise-moOolante a
Bonjour à tous,
Bonjour,
(snip)
Quelqu'un peut il m'indiquer un newsgroup plus adapté si je suis à côté
de la plaque ici
fr.comp.securite me semble plus adapté à votre probleme...
(...)
Merci apparement je ne suis pas le seul cela semble être un faux positif
du au noyau 2.6.x
Le Wed, 28 Jul 2004 15:33:02 +0200, pingu-en-banquise-moOolante a
Bonjour à tous,
Bonjour,
(snip)
Quelqu'un peut il m'indiquer un newsgroup plus adapté si je suis à côté de la plaque ici
fr.comp.securite me semble plus adapté à votre probleme...
(...)
Merci apparement je ne suis pas le seul cela semble être un faux positif du au noyau 2.6.x
Pingu-en-banquise-moOolante
no_spam
On Wed, 28 Jul 2004 18:18:32 +0200, pingu-en-banquise-moOolante wrote:
Le Wed, 28 Jul 2004 15:33:02 +0200, pingu-en-banquise-moOolante a
Bonjour à tous,
Bonjour,
(snip)
Quelqu'un peut il m'indiquer un newsgroup plus adapté si je suis à côté de la plaque ici
fr.comp.securite me semble plus adapté à votre probleme...
(...)
Merci apparement je ne suis pas le seul cela semble être un faux positif du au noyau 2.6.x
Pour ps, par défaut, sous 2.6, il ne montre plus les threads d'un même process. Ce qui affole chkrootkit. C'est ce dernier qui n'est pas à jour et donc inutilisable sur un 2.6.
On Wed, 28 Jul 2004 18:18:32 +0200, pingu-en-banquise-moOolante wrote:
Le Wed, 28 Jul 2004 15:33:02 +0200, pingu-en-banquise-moOolante a
Bonjour à tous,
Bonjour,
(snip)
Quelqu'un peut il m'indiquer un newsgroup plus adapté si je suis à côté
de la plaque ici
fr.comp.securite me semble plus adapté à votre probleme...
(...)
Merci apparement je ne suis pas le seul cela semble être un faux positif
du au noyau 2.6.x
Pour ps, par défaut, sous 2.6, il ne montre plus les threads d'un
même process. Ce qui affole chkrootkit.
C'est ce dernier qui n'est pas à jour et donc inutilisable sur un 2.6.
On Wed, 28 Jul 2004 18:18:32 +0200, pingu-en-banquise-moOolante wrote:
Le Wed, 28 Jul 2004 15:33:02 +0200, pingu-en-banquise-moOolante a
Bonjour à tous,
Bonjour,
(snip)
Quelqu'un peut il m'indiquer un newsgroup plus adapté si je suis à côté de la plaque ici
fr.comp.securite me semble plus adapté à votre probleme...
(...)
Merci apparement je ne suis pas le seul cela semble être un faux positif du au noyau 2.6.x
Pour ps, par défaut, sous 2.6, il ne montre plus les threads d'un même process. Ce qui affole chkrootkit. C'est ce dernier qui n'est pas à jour et donc inutilisable sur un 2.6.
