Que vallent les petits soft tels que chkrootkit et rkhunter. Le 2eme me
dit que tout est OK et le premier me dit que j'ai des services hidden en
cours :
> hecking `lkm'... You have 5 process hidden for readdir command
> You have 5 process hidden for ps command
> Warning: Possible LKM Trojan installed
Sous Windows 2000, je pense avoir qq compétences au niveau sécurité,
mais j'avoue que sous Linux je débute. J'ai une Mandrake 10.0 + Firewall
Guarddog (avec presque tout fermé). Les scanner de ports me disent que
tous mes ports sont fermés.
Que penser de ce message ?
J'ai Firefox + Thunderbird +Psi qui tournent du matin au soir (PC allumé
de 8h à 20h)
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Corsica
Tout d'abord pardon pour la faute, il fallait lire Chercheur. Ensuite, aprés avoir cherché un petit moment sur Internet, j'ai posté ce message, et 5 minutes aprés, comme un fait exprés, j'ai trouvé un début de réponse. Il semble que chkrootkit donne de fausses alertes sur les proccess hidden, surtout avec le noyau 2.6 (ce qui est mon cas).
Je vais donc continuer à vérifier et surveiller ma connexion.
A+ et Bien le Bonjour de Corse
Tout d'abord pardon pour la faute, il fallait lire Chercheur.
Ensuite, aprés avoir cherché un petit moment sur Internet, j'ai posté ce
message, et 5 minutes aprés, comme un fait exprés, j'ai trouvé un début
de réponse.
Il semble que chkrootkit donne de fausses alertes sur les proccess
hidden, surtout avec le noyau 2.6 (ce qui est mon cas).
Je vais donc continuer à vérifier et surveiller ma connexion.
Tout d'abord pardon pour la faute, il fallait lire Chercheur. Ensuite, aprés avoir cherché un petit moment sur Internet, j'ai posté ce message, et 5 minutes aprés, comme un fait exprés, j'ai trouvé un début de réponse. Il semble que chkrootkit donne de fausses alertes sur les proccess hidden, surtout avec le noyau 2.6 (ce qui est mon cas).
Je vais donc continuer à vérifier et surveiller ma connexion.
A+ et Bien le Bonjour de Corse
Xavier Roche
Corsica wrote:
hecking `lkm'... You have 5 process hidden for readdir command
Lesquels ?
You have 5 process hidden for ps command
C'est pas forcément grave: des process "hidden" comprennent aussi les pseudo-process du noyau (sur certaines versions du noyau, les /proc/<PID>/ n'existent pas pour <PID>=un nombre bas)
Essaye un: ps -ef|grep "["
Et regarde les entrées correspondantes dans /proc (exemple: répertoire /proc/1)
Si tous les services sont off (y compris les services UDP comme le DNS) il ne devrait pas avoir de problèmes.
Corsica wrote:
hecking `lkm'... You have 5 process hidden for readdir command
Lesquels ?
You have 5 process hidden for ps command
C'est pas forcément grave: des process "hidden" comprennent aussi
les pseudo-process du noyau (sur certaines versions du noyau, les
/proc/<PID>/ n'existent pas pour <PID>=un nombre bas)
Essaye un:
ps -ef|grep "["
Et regarde les entrées correspondantes dans /proc
(exemple: répertoire /proc/1)
Si tous les services sont off (y compris les services UDP comme le DNS) il
ne devrait pas avoir de problèmes.
hecking `lkm'... You have 5 process hidden for readdir command
Lesquels ?
You have 5 process hidden for ps command
C'est pas forcément grave: des process "hidden" comprennent aussi les pseudo-process du noyau (sur certaines versions du noyau, les /proc/<PID>/ n'existent pas pour <PID>=un nombre bas)
Essaye un: ps -ef|grep "["
Et regarde les entrées correspondantes dans /proc (exemple: répertoire /proc/1)
Si tous les services sont off (y compris les services UDP comme le DNS) il ne devrait pas avoir de problèmes.
Eric Razny
Il semble que chkrootkit donne de fausses alertes sur les proccess hidden, surtout avec le noyau 2.6 (ce qui est mon cas).
Je vais donc continuer à vérifier et surveiller ma connexion.
Accessoirement chkrootkit donne aussi une fausse alerte avec mon 465/TCP avec un stunnel sur un serveur smtp derrière. Un peu chiant mais je conserve car il semble se montrer asser efficace (enfin encore rien trouvé chez moi -j espère que ce n'est pas un faux négatif :) - ) mais quand j'ais déjà gagné du temps chez des connaissances[1] vu que ça se charge/compile/exécute en quelques minutes.
Attention, comme d'hab, pas d'alerte ne signifie pas que tout va bien!
Eric
[1] rootées jusqu'à la moelle, ce qui permet d'expliquer que "différent de MS n'implique pas sur" :)
-- L'invulnérable : Je ne pense pas etre piratable, infectable par un trojen oui! Vu sur fcs un jour de mars 2004.
Il semble que chkrootkit donne de fausses alertes sur les proccess
hidden, surtout avec le noyau 2.6 (ce qui est mon cas).
Je vais donc continuer à vérifier et surveiller ma connexion.
Accessoirement chkrootkit donne aussi une fausse alerte avec mon 465/TCP
avec un stunnel sur un serveur smtp derrière. Un peu chiant mais je conserve
car il semble se montrer asser efficace (enfin encore rien trouvé chez
moi -j espère que ce n'est pas un faux négatif :) - ) mais quand j'ais déjà
gagné du temps chez des connaissances[1] vu que ça se charge/compile/exécute
en quelques minutes.
Attention, comme d'hab, pas d'alerte ne signifie pas que tout va bien!
Eric
[1] rootées jusqu'à la moelle, ce qui permet d'expliquer que "différent de
MS n'implique pas sur" :)
--
L'invulnérable :
Je ne pense pas etre piratable, infectable par un trojen oui!
Vu sur fcs un jour de mars 2004.
Il semble que chkrootkit donne de fausses alertes sur les proccess hidden, surtout avec le noyau 2.6 (ce qui est mon cas).
Je vais donc continuer à vérifier et surveiller ma connexion.
Accessoirement chkrootkit donne aussi une fausse alerte avec mon 465/TCP avec un stunnel sur un serveur smtp derrière. Un peu chiant mais je conserve car il semble se montrer asser efficace (enfin encore rien trouvé chez moi -j espère que ce n'est pas un faux négatif :) - ) mais quand j'ais déjà gagné du temps chez des connaissances[1] vu que ça se charge/compile/exécute en quelques minutes.
Attention, comme d'hab, pas d'alerte ne signifie pas que tout va bien!
Eric
[1] rootées jusqu'à la moelle, ce qui permet d'expliquer que "différent de MS n'implique pas sur" :)
-- L'invulnérable : Je ne pense pas etre piratable, infectable par un trojen oui! Vu sur fcs un jour de mars 2004.
pingu-en-banquise-moOolante
Corsica wrote:
hecking `lkm'... You have 5 process hidden for readdir command
Lesquels ?
You have 5 process hidden for ps command
C'est pas forcément grave: des process "hidden" comprennent aussi les pseudo-process du noyau (sur certaines versions du noyau, les /proc/<PID>/ n'existent pas pour <PID>=un nombre bas)
Essaye un: ps -ef|grep "["
Et regarde les entrées correspondantes dans /proc (exemple: répertoire /proc/1)
Si tous les services sont off (y compris les services UDP comme le DNS) il ne devrait pas avoir de problèmes.
Bonjour j'ai un problème similaire a celui de Corsica et j'ai identifié grâce a chkrootkit -x lkm qu'il s'agissait de thunderbird , firefox et xchat.
Par contre j'ai essayé le ps -ef | grep "[" mais dans ce qu'il m'affiche je ne vois rien en rapport avec ces programmes pourrais tu détailler un peu svp je ne vois pas bien comment mettre en rapport le résultat de ps et /proc.
D'avance merci a ceux qui tenterons de m'éclairer.
Pingu-en-banquise-moOolante
Corsica wrote:
hecking `lkm'... You have 5 process hidden for readdir command
Lesquels ?
You have 5 process hidden for ps command
C'est pas forcément grave: des process "hidden" comprennent aussi
les pseudo-process du noyau (sur certaines versions du noyau, les
/proc/<PID>/ n'existent pas pour <PID>=un nombre bas)
Essaye un:
ps -ef|grep "["
Et regarde les entrées correspondantes dans /proc
(exemple: répertoire /proc/1)
Si tous les services sont off (y compris les services UDP comme le DNS) il
ne devrait pas avoir de problèmes.
Bonjour j'ai un problème similaire a celui de Corsica et j'ai identifié
grâce a chkrootkit -x lkm qu'il s'agissait de thunderbird , firefox et
xchat.
Par contre j'ai essayé le ps -ef | grep "[" mais dans ce qu'il
m'affiche je ne vois rien en rapport avec ces programmes pourrais tu
détailler un peu svp je ne vois pas bien comment mettre en rapport le
résultat de ps et /proc.
D'avance merci a ceux qui tenterons de m'éclairer.
hecking `lkm'... You have 5 process hidden for readdir command
Lesquels ?
You have 5 process hidden for ps command
C'est pas forcément grave: des process "hidden" comprennent aussi les pseudo-process du noyau (sur certaines versions du noyau, les /proc/<PID>/ n'existent pas pour <PID>=un nombre bas)
Essaye un: ps -ef|grep "["
Et regarde les entrées correspondantes dans /proc (exemple: répertoire /proc/1)
Si tous les services sont off (y compris les services UDP comme le DNS) il ne devrait pas avoir de problèmes.
Bonjour j'ai un problème similaire a celui de Corsica et j'ai identifié grâce a chkrootkit -x lkm qu'il s'agissait de thunderbird , firefox et xchat.
Par contre j'ai essayé le ps -ef | grep "[" mais dans ce qu'il m'affiche je ne vois rien en rapport avec ces programmes pourrais tu détailler un peu svp je ne vois pas bien comment mettre en rapport le résultat de ps et /proc.
D'avance merci a ceux qui tenterons de m'éclairer.
