Suite à un message sur cette ML, j'ai installé chkrootkit, et voici le
résultat :
# chkrootkit -q
/usr/bin/strings: Warning: '/' is not an ordinary file
You have 8 process hidden for readdir command
You have 8 process hidden for ps command
Warning: Possible LKM Trojan installed
eth0: PACKET SNIFFER(/sbin/dhclient[1847])
Y a-t-il matière à s'inquieter ?
D'avance merci...
--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Suite à un message sur cette ML, j'ai installé chkrootkit, et voici le résultat :
# chkrootkit -q /usr/bin/strings: Warning: '/' is not an ordinary file You have 8 process hidden for readdir command You have 8 process hidden for ps command Warning: Possible LKM Trojan installed eth0: PACKET SNIFFER(/sbin/dhclient[1847])
Y a-t-il matière à s'inquieter ?
Il y a bcp de faux positifs avec chkrootkit mais il faut s'inquiéter qd même. Je rappelle que j'ai fait un petit programme très pratique qui permet d'identifer les processus cachés en question et de prévenir leur apparition. C'est un paquet (cacheproc sous
deb http://boisson.homeip.net/woody/ ./ ou deb http://boisson.homeip.net/sarge/ ./ )
Il est composé de deux programmes chercheprocess et regarde qui cherchent les processus cachés. Ainsi pour Suckit, la sortie est
Cela permet de savoir le repertoire d'exécution (PWD=/usr/.sk12 ici), qui l'a lancé (USER=root), plusieurs renseignements divers dans l'environnement et bien sûr, la ligne de commande ayant lancé le processus (ici ./sk).
regarde est le même programme mais sans sortie écran si tout se passe bien. Mettre 0 * * * * root /usr/bin/regarde enverra un mail à root (via la sortie standard, bien configurer cron) en cas de processus trouvé.
Il peut y avoir de rares cas de faux positifs lorsqu'un programme est détruit entre sa détection et son analyse, dans ce cas, il n'affiche aucune ligne de commande (1 fois tous les deux mois environ chez moi sur une passerelle parefeu).
François Boisson
Le Fri, 24 Dec 2004 01:24:02 +0100
k3rn <k3rn@free.fr> a écrit:
Bonsoir
Suite à un message sur cette ML, j'ai installé chkrootkit, et voici le
résultat :
# chkrootkit -q
/usr/bin/strings: Warning: '/' is not an ordinary file
You have 8 process hidden for readdir command
You have 8 process hidden for ps command
Warning: Possible LKM Trojan installed
eth0: PACKET SNIFFER(/sbin/dhclient[1847])
Y a-t-il matière à s'inquieter ?
Il y a bcp de faux positifs avec chkrootkit mais il faut s'inquiéter qd
même. Je rappelle que j'ai fait un petit programme très pratique qui
permet d'identifer les processus cachés en question et de prévenir leur
apparition. C'est un paquet (cacheproc sous
deb http://boisson.homeip.net/woody/ ./
ou
deb http://boisson.homeip.net/sarge/ ./
)
Il est composé de deux programmes chercheprocess et regarde qui
cherchent les processus cachés. Ainsi pour Suckit, la sortie est
Cela permet de savoir le repertoire d'exécution (PWD=/usr/.sk12 ici),
qui l'a lancé (USER=root), plusieurs renseignements divers dans
l'environnement et bien sûr, la ligne de commande ayant lancé le
processus (ici ./sk).
regarde est le même programme mais sans sortie écran si tout se passe
bien. Mettre
0 * * * * root /usr/bin/regarde
enverra un mail à root (via la sortie standard, bien configurer cron) en
cas de processus trouvé.
Il peut y avoir de rares cas de faux positifs lorsqu'un programme est
détruit entre sa détection et son analyse, dans ce cas, il n'affiche
aucune ligne de commande (1 fois tous les deux mois environ chez moi sur
une passerelle parefeu).
Suite à un message sur cette ML, j'ai installé chkrootkit, et voici le résultat :
# chkrootkit -q /usr/bin/strings: Warning: '/' is not an ordinary file You have 8 process hidden for readdir command You have 8 process hidden for ps command Warning: Possible LKM Trojan installed eth0: PACKET SNIFFER(/sbin/dhclient[1847])
Y a-t-il matière à s'inquieter ?
Il y a bcp de faux positifs avec chkrootkit mais il faut s'inquiéter qd même. Je rappelle que j'ai fait un petit programme très pratique qui permet d'identifer les processus cachés en question et de prévenir leur apparition. C'est un paquet (cacheproc sous
deb http://boisson.homeip.net/woody/ ./ ou deb http://boisson.homeip.net/sarge/ ./ )
Il est composé de deux programmes chercheprocess et regarde qui cherchent les processus cachés. Ainsi pour Suckit, la sortie est
Cela permet de savoir le repertoire d'exécution (PWD=/usr/.sk12 ici), qui l'a lancé (USER=root), plusieurs renseignements divers dans l'environnement et bien sûr, la ligne de commande ayant lancé le processus (ici ./sk).
regarde est le même programme mais sans sortie écran si tout se passe bien. Mettre 0 * * * * root /usr/bin/regarde enverra un mail à root (via la sortie standard, bien configurer cron) en cas de processus trouvé.
Il peut y avoir de rares cas de faux positifs lorsqu'un programme est détruit entre sa détection et son analyse, dans ce cas, il n'affiche aucune ligne de commande (1 fois tous les deux mois environ chez moi sur une passerelle parefeu).
François Boisson
k3rn
Denis Bodor wrote:
procps est-il à jour ? Il m'est déjà arrivé d'avoir ce type d'alerte pour cette raison
Test refait ce matin, plus d'alerte de ce type.
eth0: PACKET SNIFFER(/sbin/dhclient[1847])
En revanche, ça, j'ai toujours...
# chkrootkit -q /usr/bin/strings: Warning: '/' is not an ordinary file eth0: PACKET SNIFFER(/sbin/dhclient[6073])
Ca, ca m'inquièterai bien plus.
Et je suis en train de m'inquièter... Je n'ai strictement aucune idée de la signification de cette ligne... Je n'ai pas (plus) de server dhcp... Quelqu'un peut-il me donner des infos ? (ou une marche à suivre pour tester plus en détails ?)
Merci
k3rn qui s'inquiète...
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Denis Bodor wrote:
procps est-il à jour ? Il m'est déjà arrivé d'avoir ce type d'alerte
pour cette raison
Test refait ce matin, plus d'alerte de ce type.
eth0: PACKET SNIFFER(/sbin/dhclient[1847])
En revanche, ça, j'ai toujours...
# chkrootkit -q
/usr/bin/strings: Warning: '/' is not an ordinary file
eth0: PACKET SNIFFER(/sbin/dhclient[6073])
Ca, ca m'inquièterai bien plus.
Et je suis en train de m'inquièter...
Je n'ai strictement aucune idée de la signification de cette ligne...
Je n'ai pas (plus) de server dhcp...
Quelqu'un peut-il me donner des infos ? (ou une marche à suivre pour
tester plus en détails ?)
Merci
k3rn qui s'inquiète...
--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
procps est-il à jour ? Il m'est déjà arrivé d'avoir ce type d'alerte pour cette raison
Test refait ce matin, plus d'alerte de ce type.
eth0: PACKET SNIFFER(/sbin/dhclient[1847])
En revanche, ça, j'ai toujours...
# chkrootkit -q /usr/bin/strings: Warning: '/' is not an ordinary file eth0: PACKET SNIFFER(/sbin/dhclient[6073])
Ca, ca m'inquièterai bien plus.
Et je suis en train de m'inquièter... Je n'ai strictement aucune idée de la signification de cette ligne... Je n'ai pas (plus) de server dhcp... Quelqu'un peut-il me donner des infos ? (ou une marche à suivre pour tester plus en détails ?)
Merci
k3rn qui s'inquiète...
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Jean-Michel OLTRA
bonjour,
Le vendredi 24 décembre 2004, k3rn a écrit...
>>eth0: PACKET SNIFFER(/sbin/dhclient[1847])
En revanche, ça, j'ai toujours...
# chkrootkit -q /usr/bin/strings: Warning: '/' is not an ordinary file eth0: PACKET SNIFFER(/sbin/dhclient[6073])
Tu dois avoir dhclient qui tourne. Fais un ps pour le voir et arrêtes le si il ne sert à rien. Complète tes tests avec nmap et nestat -tupan
-- jm
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
bonjour,
Le vendredi 24 décembre 2004, k3rn a écrit...
>>eth0: PACKET SNIFFER(/sbin/dhclient[1847])
En revanche, ça, j'ai toujours...
# chkrootkit -q
/usr/bin/strings: Warning: '/' is not an ordinary file
eth0: PACKET SNIFFER(/sbin/dhclient[6073])
Tu dois avoir dhclient qui tourne. Fais un ps pour le voir et arrêtes le
si il ne sert à rien. Complète tes tests avec nmap et nestat -tupan
--
jm
--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
procps est-il à jour ? Il m'est déjà arrivé d'avoir ce type d'al erte pour cette raison
Test refait ce matin, plus d'alerte de ce type.
eth0: PACKET SNIFFER(/sbin/dhclient[1847])
En revanche, ça, j'ai toujours...
# chkrootkit -q /usr/bin/strings: Warning: '/' is not an ordinary file eth0: PACKET SNIFFER(/sbin/dhclient[6073])
parce que dhclient est par vocation un « sniffer »
Il ne faut s'inquiéter des sniffer que s'ils mentionnent des processus que vous n'avez pas lancé. Si vous avez tcpdump qui tourne, c'est normal, si nous avez psad ou snort, c'est normal, dhclient aussi. Xe qui serait moins normal c'est d'avoir un pricessus tcpdump par exemple que VOUS n'avez pas lancé.
Ca, ca m'inquièterai bien plus.
Et je suis en train de m'inquièter... Je n'ai strictement aucune idée de la signification de cette ligne... Je n'ai pas (plus) de server dhcp... Quelqu'un peut-il me donner des infos ? (ou une marche à suivre pour tester plus en détails ?)
procps est-il à jour ? Il m'est déjà arrivé d'avoir ce type d'al erte
pour cette raison
Test refait ce matin, plus d'alerte de ce type.
eth0: PACKET SNIFFER(/sbin/dhclient[1847])
En revanche, ça, j'ai toujours...
# chkrootkit -q
/usr/bin/strings: Warning: '/' is not an ordinary file
eth0: PACKET SNIFFER(/sbin/dhclient[6073])
parce que dhclient est par vocation un « sniffer »
Il ne faut s'inquiéter des sniffer que s'ils mentionnent des processus
que vous n'avez pas lancé.
Si vous avez tcpdump qui tourne, c'est normal, si nous avez psad ou
snort, c'est normal, dhclient aussi. Xe qui serait moins normal c'est
d'avoir un pricessus tcpdump par exemple que VOUS n'avez pas lancé.
Ca, ca m'inquièterai bien plus.
Et je suis en train de m'inquièter...
Je n'ai strictement aucune idée de la signification de cette ligne...
Je n'ai pas (plus) de server dhcp...
Quelqu'un peut-il me donner des infos ? (ou une marche à suivre pour
tester plus en détails ?)
procps est-il à jour ? Il m'est déjà arrivé d'avoir ce type d'al erte pour cette raison
Test refait ce matin, plus d'alerte de ce type.
eth0: PACKET SNIFFER(/sbin/dhclient[1847])
En revanche, ça, j'ai toujours...
# chkrootkit -q /usr/bin/strings: Warning: '/' is not an ordinary file eth0: PACKET SNIFFER(/sbin/dhclient[6073])
parce que dhclient est par vocation un « sniffer »
Il ne faut s'inquiéter des sniffer que s'ils mentionnent des processus que vous n'avez pas lancé. Si vous avez tcpdump qui tourne, c'est normal, si nous avez psad ou snort, c'est normal, dhclient aussi. Xe qui serait moins normal c'est d'avoir un pricessus tcpdump par exemple que VOUS n'avez pas lancé.
Ca, ca m'inquièterai bien plus.
Et je suis en train de m'inquièter... Je n'ai strictement aucune idée de la signification de cette ligne... Je n'ai pas (plus) de server dhcp... Quelqu'un peut-il me donner des infos ? (ou une marche à suivre pour tester plus en détails ?)
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Vincent Lefevre
On 2004-12-24 01:24:02 +0100, k3rn wrote:
You have 8 process hidden for readdir command You have 8 process hidden for ps command Warning: Possible LKM Trojan installed
J'avais eu ce genre de problème dans le passé; c'était un bug, qui a probablement été corrigé. Tu as pris la version unstable de chkrootkit?
eth0: PACKET SNIFFER(/sbin/dhclient[1847])
J'ai eu ça aussi (c'est un faux positif). Ça m'a permis de voir que j'utilisais dhclient au lieu de pump. J'ai donc fait le nécessaire pour corriger. :)
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
On 2004-12-24 01:24:02 +0100, k3rn wrote:
You have 8 process hidden for readdir command
You have 8 process hidden for ps command
Warning: Possible LKM Trojan installed
J'avais eu ce genre de problème dans le passé; c'était un bug,
qui a probablement été corrigé. Tu as pris la version unstable
de chkrootkit?
eth0: PACKET SNIFFER(/sbin/dhclient[1847])
J'ai eu ça aussi (c'est un faux positif). Ça m'a permis de voir que
j'utilisais dhclient au lieu de pump. J'ai donc fait le nécessaire
pour corriger. :)
You have 8 process hidden for readdir command You have 8 process hidden for ps command Warning: Possible LKM Trojan installed
J'avais eu ce genre de problème dans le passé; c'était un bug, qui a probablement été corrigé. Tu as pris la version unstable de chkrootkit?
eth0: PACKET SNIFFER(/sbin/dhclient[1847])
J'ai eu ça aussi (c'est un faux positif). Ça m'a permis de voir que j'utilisais dhclient au lieu de pump. J'ai donc fait le nécessaire pour corriger. :)
