J'utilise chkrootkit
chkrootkit version 0.44 sur une Debian Sarge.
J'ai un probl=E8me j'ai re=E7u derni=E8rement un mail de ce type:
/etc/cron.daily/chkrootkit:
You have 2 process hidden for readdir command
You have 2 process hidden for ps command
Warning: Possible LKM Trojan installed
Lorsque je vais sur la machine et que je relance =E0 la main chkrootkit ave=
c
les m=EAme param=E8tres contenus dans /etc/cron.daily/chkrootkit ou m=EAme =
avec un
chkrootkit -c.
Il me met Nothing found tout est ok...
Quelqu'un a d=E9j=E0 eu un soucis avec de fausses alertes?
Enfin je comprend pkoi il me mail c=E0 , il devrait me sortir les m=EAmes
r=E9sultats en ligne de commande...
Bonjour ,<br><br>J'utilise chkrootkit<br>chkrootkit version 0.44 sur une De=
bian Sarge.<br>J'ai un probl=E8me j'ai re=E7u derni=E8rement un mail de ce =
type:<br><pre>/etc/cron.daily/chkrootkit:<br>You have 2 process hidden =
for readdir command
<br>You have 2 process hidden for ps command<br>Warning: Possible LKM T=
rojan installed</pre>Lorsque je vais sur la machine et que je relance =E0 l=
a main chkrootkit avec les m=EAme param=E8tres contenus dans /etc/cron.dail=
y/chkrootkit ou m=EAme avec un chkrootkit -c.
<br>Il me met Nothing found tout est ok...<br>Quelqu'un a d=E9j=E0 eu un so=
ucis avec de fausses alertes?<br>Enfin je comprend pkoi il me mail c=E0 , i=
l devrait me sortir les m=EAmes r=E9sultats en ligne de commande...<br><br>=
Cordialement
<br>OXx<br>
------=_Part_3103_9855951.1150788871087--
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Damien Ulrich
Le Mardi 20 Juin 2006 09:34, OXx a écrit :
Bonjour ,
Salut,
J'utilise chkrootkit chkrootkit version 0.44 sur une Debian Sarge. J'ai un problème j'ai reçu dernièrement un mail de ce type:
/etc/cron.daily/chkrootkit: You have 2 process hidden for readdir command You have 2 process hidden for ps command Warning: Possible LKM Trojan installed
Lorsque je vais sur la machine et que je relance à la main chkrootkit a vec les même paramètres contenus dans /etc/cron.daily/chkrootkit ou mêm e avec un chkrootkit -c. Il me met Nothing found tout est ok...
Tu le lances en root ?
Quelqu'un a déjà eu un soucis avec de fausses alertes? Enfin je comprend pkoi il me mail cà , il devrait me sortir les mêmes résultats en ligne de commande...
Cordialement OXx
-- "Les hommes qui travaillent ne peuvent rêver. Et la sagesse nous vient de s rêves." Smohalla, chef indien Sokulls
Le Mardi 20 Juin 2006 09:34, OXx a écrit :
Bonjour ,
Salut,
J'utilise chkrootkit
chkrootkit version 0.44 sur une Debian Sarge.
J'ai un problème j'ai reçu dernièrement un mail de ce type:
/etc/cron.daily/chkrootkit:
You have 2 process hidden for readdir command
You have 2 process hidden for ps command
Warning: Possible LKM Trojan installed
Lorsque je vais sur la machine et que je relance à la main chkrootkit a vec
les même paramètres contenus dans /etc/cron.daily/chkrootkit ou mêm e avec
un chkrootkit -c.
Il me met Nothing found tout est ok...
Tu le lances en root ?
Quelqu'un a déjà eu un soucis avec de fausses alertes?
Enfin je comprend pkoi il me mail cà , il devrait me sortir les mêmes
résultats en ligne de commande...
Cordialement
OXx
--
"Les hommes qui travaillent ne peuvent rêver. Et la sagesse nous vient de s
rêves."
Smohalla, chef indien Sokulls
J'utilise chkrootkit chkrootkit version 0.44 sur une Debian Sarge. J'ai un problème j'ai reçu dernièrement un mail de ce type:
/etc/cron.daily/chkrootkit: You have 2 process hidden for readdir command You have 2 process hidden for ps command Warning: Possible LKM Trojan installed
Lorsque je vais sur la machine et que je relance à la main chkrootkit a vec les même paramètres contenus dans /etc/cron.daily/chkrootkit ou mêm e avec un chkrootkit -c. Il me met Nothing found tout est ok...
Tu le lances en root ?
Quelqu'un a déjà eu un soucis avec de fausses alertes? Enfin je comprend pkoi il me mail cà , il devrait me sortir les mêmes résultats en ligne de commande...
Cordialement OXx
-- "Les hommes qui travaillent ne peuvent rêver. Et la sagesse nous vient de s rêves." Smohalla, chef indien Sokulls
Le Mardi 20 Juin 2006 09:34, OXx a écrit: > Bonjour , Salut, > > J'utilise chkrootkit > chkrootkit version 0.44 sur une Debian Sarge. > J'ai un problème j'ai reçu dernièrement un mail de ce type: > > /etc/cron.daily/chkrootkit: > You have 2 process hidden for readdir command > You have 2 process hidden for ps command > Warning: Possible LKM Trojan installed > > Lorsque je vais sur la machine et que je relance à la main chkrootkit avec > les même paramètres contenus dans /etc/cron.daily/chkrootkit ou m ême avec > un chkrootkit -c. > Il me met Nothing found tout est ok... Tu le lances en root ? > Quelqu'un a déjà eu un soucis avec de fausses alertes? > Enfin je comprend pkoi il me mail cà , il devrait me sortir les mêm es > résultats en ligne de commande... > > Cordialement > OXx
-- "Les hommes qui travaillent ne peuvent rêver. Et la sagesse nous vient des rêves." Smohalla, chef indien Sokulls
<span style="font-style: italic;">whoami</span><br style="font-style: i talic;"><span style="font-style: italic;">root</span><br><br>Oui<br><br>< div><span class="gmail_quote">2006/6/20, Damien Ulrich <<a href="mai lto:"> </a>>:</span><blockquote class="gmail_quote" style=" border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; paddi ng-left: 1ex;">Le Mardi 20 Juin 2006 09:34, OXx a écrit:<br>> Bonjour ,<br> Salut,<br>><br>> J'utilise chkrootkit<br>> chkrootkit version 0.44 sur une Debian Sarge.<br>> J'ai un problème j'ai reçu dernièremen t un mail de ce type:<br>><br>> /etc/cron.daily/chkrootkit:<br>> Y ou have 2 process hidden for readdir command <br>> You have 2 process hidden for ps command<b r>> Warning: Possible LKM Trojan installed<br>><br>> Lorsque je va is sur la machine et que je relance à la main chkrootkit avec<br>> les même paramètres contenus dans /etc/cron.daily/chkrootkit ou même ave c <br>> un chkrootkit -c.<br>> Il me met Nothing found tout est ok...<b r>Tu le lances en root ?<br>> Quelqu'un a déjà eu un soucis avec de fausses alertes?<br>> Enfin je comprend pkoi il me mail cà , il devrai t me sortir les mêmes <br>> résultats en ligne de commande...<br>><br>> Cordialement<b r>> OXx<br><br>--<br>"Les hommes qui travaillent ne peuvent rêver . Et la sagesse nous vient des<br>rêves."<br>Smohalla, chef indien S okulls <br><br></blockquote></div><br>
------=_Part_3163_1527493.1150789767226--
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Le Mardi 20 Juin 2006 09:34, OXx a écrit:
> Bonjour ,
Salut,
>
> J'utilise chkrootkit
> chkrootkit version 0.44 sur une Debian Sarge.
> J'ai un problème j'ai reçu dernièrement un mail de ce type:
>
> /etc/cron.daily/chkrootkit:
> You have 2 process hidden for readdir command
> You have 2 process hidden for ps command
> Warning: Possible LKM Trojan installed
>
> Lorsque je vais sur la machine et que je relance à la main chkrootkit
avec
> les même paramètres contenus dans /etc/cron.daily/chkrootkit ou m ême
avec
> un chkrootkit -c.
> Il me met Nothing found tout est ok...
Tu le lances en root ?
> Quelqu'un a déjà eu un soucis avec de fausses alertes?
> Enfin je comprend pkoi il me mail cà , il devrait me sortir les mêm es
> résultats en ligne de commande...
>
> Cordialement
> OXx
--
"Les hommes qui travaillent ne peuvent rêver. Et la sagesse nous vient des
rêves."
Smohalla, chef indien Sokulls
<span style="font-style: italic;">whoami</span><br style="font-style: i talic;"><span style="font-style: italic;">root</span><br><br>Oui<br><br>< div><span class="gmail_quote">2006/6/20, Damien Ulrich <<a href="mai lto:dams@domosys.org">
dams@domosys.org</a>>:</span><blockquote class="gmail_quote" style=" border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; paddi ng-left: 1ex;">Le Mardi 20 Juin 2006 09:34, OXx a écrit:<br>> Bonjour ,<br>
Salut,<br>><br>> J'utilise chkrootkit<br>> chkrootkit version 0.44 sur une Debian Sarge.<br>> J'ai un problème j'ai reçu dernièremen t un mail de ce type:<br>><br>> /etc/cron.daily/chkrootkit:<br>> Y ou have 2 process hidden for readdir command
<br>> You have 2 process hidden for ps command<b r>> Warning: Possible LKM Trojan installed<br>><br>> Lorsque je va is sur la machine et que je relance à la main chkrootkit avec<br>> les même paramètres contenus dans /etc/cron.daily/chkrootkit ou même ave c
<br>> un chkrootkit -c.<br>> Il me met Nothing found tout est ok...<b r>Tu le lances en root ?<br>> Quelqu'un a déjà eu un soucis avec de fausses alertes?<br>> Enfin je comprend pkoi il me mail cà , il devrai t me sortir les mêmes
<br>> résultats en ligne de commande...<br>><br>> Cordialement<b r>> OXx<br><br>--<br>"Les hommes qui travaillent ne peuvent rêver . Et la sagesse nous vient des<br>rêves."<br>Smohalla, chef indien S okulls
<br><br></blockquote></div><br>
------=_Part_3163_1527493.1150789767226--
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Le Mardi 20 Juin 2006 09:34, OXx a écrit: > Bonjour , Salut, > > J'utilise chkrootkit > chkrootkit version 0.44 sur une Debian Sarge. > J'ai un problème j'ai reçu dernièrement un mail de ce type: > > /etc/cron.daily/chkrootkit: > You have 2 process hidden for readdir command > You have 2 process hidden for ps command > Warning: Possible LKM Trojan installed > > Lorsque je vais sur la machine et que je relance à la main chkrootkit avec > les même paramètres contenus dans /etc/cron.daily/chkrootkit ou m ême avec > un chkrootkit -c. > Il me met Nothing found tout est ok... Tu le lances en root ? > Quelqu'un a déjà eu un soucis avec de fausses alertes? > Enfin je comprend pkoi il me mail cà , il devrait me sortir les mêm es > résultats en ligne de commande... > > Cordialement > OXx
-- "Les hommes qui travaillent ne peuvent rêver. Et la sagesse nous vient des rêves." Smohalla, chef indien Sokulls
<span style="font-style: italic;">whoami</span><br style="font-style: i talic;"><span style="font-style: italic;">root</span><br><br>Oui<br><br>< div><span class="gmail_quote">2006/6/20, Damien Ulrich <<a href="mai lto:"> </a>>:</span><blockquote class="gmail_quote" style=" border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; paddi ng-left: 1ex;">Le Mardi 20 Juin 2006 09:34, OXx a écrit:<br>> Bonjour ,<br> Salut,<br>><br>> J'utilise chkrootkit<br>> chkrootkit version 0.44 sur une Debian Sarge.<br>> J'ai un problème j'ai reçu dernièremen t un mail de ce type:<br>><br>> /etc/cron.daily/chkrootkit:<br>> Y ou have 2 process hidden for readdir command <br>> You have 2 process hidden for ps command<b r>> Warning: Possible LKM Trojan installed<br>><br>> Lorsque je va is sur la machine et que je relance à la main chkrootkit avec<br>> les même paramètres contenus dans /etc/cron.daily/chkrootkit ou même ave c <br>> un chkrootkit -c.<br>> Il me met Nothing found tout est ok...<b r>Tu le lances en root ?<br>> Quelqu'un a déjà eu un soucis avec de fausses alertes?<br>> Enfin je comprend pkoi il me mail cà , il devrai t me sortir les mêmes <br>> résultats en ligne de commande...<br>><br>> Cordialement<b r>> OXx<br><br>--<br>"Les hommes qui travaillent ne peuvent rêver . Et la sagesse nous vient des<br>rêves."<br>Smohalla, chef indien S okulls <br><br></blockquote></div><br>
------=_Part_3163_1527493.1150789767226--
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Gurvan Huiban
On Tuesday 20 June 2006 04:34, OXx wrote:
J'utilise chkrootkit chkrootkit version 0.44 sur une Debian Sarge. J'ai un problème j'ai reçu dernièrement un mail de ce type:
/etc/cron.daily/chkrootkit: You have 2 process hidden for readdir command You have 2 process hidden for ps command Warning: Possible LKM Trojan installed
Lorsque je vais sur la machine et que je relance à la main chkrootkit a vec les même paramètres contenus dans /etc/cron.daily/chkrootkit ou mêm e avec un chkrootkit -c. Il me met Nothing found tout est ok... Quelqu'un a déjà eu un soucis avec de fausses alertes?
Ce type de fausse alerte peut arriver. Je ne me souviens plus des détails techniques, mais en gros chkrootkit compare la sortie de ps avec le contenu d'un répertoire recensant les processus en cours (/proc/ps?), histoire de voir si ps occulte certains résultats.
Il suffit que un ou 2 processus soient crées/supprimés entre l'exécut ion du ps et le listing du répertoire. Ça arrive une fois de temps en temps.
Si en re-exécutant chkrootkit en console, ça n'apparaît plus, c'est q ue a priori c'est OK.
Enfin je comprend pkoi il me mail cà , il devrait me sortir les mêmes résultats en ligne de commande...
"My mother used to make coffee this way... Hot... Strong... And good." (from "Once upon in the West")
On Tuesday 20 June 2006 04:34, OXx wrote:
J'utilise chkrootkit
chkrootkit version 0.44 sur une Debian Sarge.
J'ai un problème j'ai reçu dernièrement un mail de ce type:
/etc/cron.daily/chkrootkit:
You have 2 process hidden for readdir command
You have 2 process hidden for ps command
Warning: Possible LKM Trojan installed
Lorsque je vais sur la machine et que je relance à la main chkrootkit a vec
les même paramètres contenus dans /etc/cron.daily/chkrootkit ou mêm e avec
un chkrootkit -c.
Il me met Nothing found tout est ok...
Quelqu'un a déjà eu un soucis avec de fausses alertes?
Ce type de fausse alerte peut arriver. Je ne me souviens plus des détails
techniques, mais en gros chkrootkit compare la sortie de ps avec le contenu
d'un répertoire recensant les processus en cours (/proc/ps?), histoire de
voir si ps occulte certains résultats.
Il suffit que un ou 2 processus soient crées/supprimés entre l'exécut ion du ps
et le listing du répertoire. Ça arrive une fois de temps en temps.
Si en re-exécutant chkrootkit en console, ça n'apparaît plus, c'est q ue a
priori c'est OK.
Enfin je comprend pkoi il me mail cà , il devrait me sortir les mêmes
résultats en ligne de commande...
J'utilise chkrootkit chkrootkit version 0.44 sur une Debian Sarge. J'ai un problème j'ai reçu dernièrement un mail de ce type:
/etc/cron.daily/chkrootkit: You have 2 process hidden for readdir command You have 2 process hidden for ps command Warning: Possible LKM Trojan installed
Lorsque je vais sur la machine et que je relance à la main chkrootkit a vec les même paramètres contenus dans /etc/cron.daily/chkrootkit ou mêm e avec un chkrootkit -c. Il me met Nothing found tout est ok... Quelqu'un a déjà eu un soucis avec de fausses alertes?
Ce type de fausse alerte peut arriver. Je ne me souviens plus des détails techniques, mais en gros chkrootkit compare la sortie de ps avec le contenu d'un répertoire recensant les processus en cours (/proc/ps?), histoire de voir si ps occulte certains résultats.
Il suffit que un ou 2 processus soient crées/supprimés entre l'exécut ion du ps et le listing du répertoire. Ça arrive une fois de temps en temps.
Si en re-exécutant chkrootkit en console, ça n'apparaît plus, c'est q ue a priori c'est OK.
Enfin je comprend pkoi il me mail cà , il devrait me sortir les mêmes résultats en ligne de commande...
Ok j'ai passé d'autres outils que chkrootkit pour être sûr et en effe t tout me parait clean. Merci Gurvan pour ta réponse ! OxX
Le 20/06/06, Gurvan Huiban a écrit :
On Tuesday 20 June 2006 04:34, OXx wrote: > J'utilise chkrootkit > chkrootkit version 0.44 sur une Debian Sarge. > J'ai un problème j'ai reçu dernièrement un mail de ce type: > > /etc/cron.daily/chkrootkit: > You have 2 process hidden for readdir command > You have 2 process hidden for ps command > Warning: Possible LKM Trojan installed > > Lorsque je vais sur la machine et que je relance à la main chkrootkit avec > les même paramètres contenus dans /etc/cron.daily/chkrootkit ou m ême avec > un chkrootkit -c. > Il me met Nothing found tout est ok... > Quelqu'un a déjà eu un soucis avec de fausses alertes?
Ce type de fausse alerte peut arriver. Je ne me souviens plus des détai ls techniques, mais en gros chkrootkit compare la sortie de ps avec le contenu d'un répertoire recensant les processus en cours (/proc/ps?), histoire de voir si ps occulte certains résultats.
Il suffit que un ou 2 processus soient crées/supprimés entre l'exéc ution du ps et le listing du répertoire. Ça arrive une fois de temps en temps.
Si en re-exécutant chkrootkit en console, ça n'apparaît plus, c'est que a priori c'est OK.
> Enfin je comprend pkoi il me mail cà , il devrait me sortir les mêm es > résultats en ligne de commande...
Ok j'ai passé d'autres outils que chkrootkit pour être sûr et en effe t tout me parait clean.<br>Merci <span class="gmail_quote"><b class="gm ail_sendername">Gurvan </b></span>pour ta réponse !<br>OxX<br><br><div><s pan class="gmail_quote"> Le 20/06/06, <b class="gmail_sendername">Gurvan Huiban</b> <<a href= "mailto:"></a>> a éc rit :</span><blockquote class="gmail_quote" style="border-left: 1px sol id rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;"> On Tuesday 20 June 2006 04:34, OXx wrote:<br>> J'utilise chkrootkit<br>& gt; chkrootkit version 0.44 sur une Debian Sarge.<br>> J'ai un problèm e j'ai reçu dernièrement un mail de ce type:<br>><br>> /etc/cron. daily/chkrootkit: <br>> You have 2 process hidden for readdir command<br>> You have 2 p rocess hidden for ps command<br>> Warning: Possible LKM Trojan installed <br>><br>> Lorsque je vais sur la machine et que je relance à la ma in chkrootkit avec <br>> les même paramètres contenus dans /etc/cron.daily/chkrootkit o u même avec<br>> un chkrootkit -c.<br>> Il me met Nothing found tou t est ok...<br>> Quelqu'un a déjà eu un soucis avec de fausses alert es?<br> <br>Ce type de fausse alerte peut arriver. Je ne me souviens plus des dét ails<br>techniques, mais en gros chkrootkit compare la sortie de ps avec le contenu<br>d'un répertoire recensant les processus en cours (/proc/ps?), histoire de <br>voir si ps occulte certains résultats.<br><br>Il suffit que un ou 2 p rocessus soient crées/supprimés entre l'exécution du ps<br>et le list ing du répertoire. Ça arrive une fois de temps en temps.<br><br>Si en r e-exécutant chkrootkit en console, ça n'apparaît plus, c'est que a <br>priori c'est OK.<br><br>> Enfin je comprend pkoi il me mail cà , i l devrait me sortir les mêmes<br>> résultats en ligne de commande... <br><br>--<br>~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~< br> Gurvan Huiban<br><br> " ;My mother used to make coffee this way...<br>   ; Hot...<br> Strong... <br> And good." & nbsp; (from "Once upon in the West")<br><br></blockquo te></div><br>
------=_Part_3717_23051867.1150796049127--
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Ok j'ai passé d'autres outils que chkrootkit pour être sûr et en effe t tout
me parait clean.
Merci Gurvan pour ta réponse !
OxX
Le 20/06/06, Gurvan Huiban <gugs.nospamplease@free.fr> a écrit :
On Tuesday 20 June 2006 04:34, OXx wrote:
> J'utilise chkrootkit
> chkrootkit version 0.44 sur une Debian Sarge.
> J'ai un problème j'ai reçu dernièrement un mail de ce type:
>
> /etc/cron.daily/chkrootkit:
> You have 2 process hidden for readdir command
> You have 2 process hidden for ps command
> Warning: Possible LKM Trojan installed
>
> Lorsque je vais sur la machine et que je relance à la main chkrootkit
avec
> les même paramètres contenus dans /etc/cron.daily/chkrootkit ou m ême
avec
> un chkrootkit -c.
> Il me met Nothing found tout est ok...
> Quelqu'un a déjà eu un soucis avec de fausses alertes?
Ce type de fausse alerte peut arriver. Je ne me souviens plus des détai ls
techniques, mais en gros chkrootkit compare la sortie de ps avec le
contenu
d'un répertoire recensant les processus en cours (/proc/ps?), histoire de
voir si ps occulte certains résultats.
Il suffit que un ou 2 processus soient crées/supprimés entre l'exéc ution
du ps
et le listing du répertoire. Ça arrive une fois de temps en temps.
Si en re-exécutant chkrootkit en console, ça n'apparaît plus, c'est que a
priori c'est OK.
> Enfin je comprend pkoi il me mail cà , il devrait me sortir les mêm es
> résultats en ligne de commande...
Ok j'ai passé d'autres outils que chkrootkit pour être sûr et en effe t tout me parait clean.<br>Merci <span class="gmail_quote"><b class="gm ail_sendername">Gurvan </b></span>pour ta réponse !<br>OxX<br><br><div><s pan class="gmail_quote">
Le 20/06/06, <b class="gmail_sendername">Gurvan Huiban</b> <<a href= "mailto:gugs.nospamplease@free.fr">gugs.nospamplease@free.fr</a>> a éc rit :</span><blockquote class="gmail_quote" style="border-left: 1px sol id rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
On Tuesday 20 June 2006 04:34, OXx wrote:<br>> J'utilise chkrootkit<br>& gt; chkrootkit version 0.44 sur une Debian Sarge.<br>> J'ai un problèm e j'ai reçu dernièrement un mail de ce type:<br>><br>> /etc/cron. daily/chkrootkit:
<br>> You have 2 process hidden for readdir command<br>> You have 2 p rocess hidden for ps command<br>> Warning: Possible LKM Trojan installed <br>><br>> Lorsque je vais sur la machine et que je relance à la ma in chkrootkit avec
<br>> les même paramètres contenus dans /etc/cron.daily/chkrootkit o u même avec<br>> un chkrootkit -c.<br>> Il me met Nothing found tou t est ok...<br>> Quelqu'un a déjà eu un soucis avec de fausses alert es?<br>
<br>Ce type de fausse alerte peut arriver. Je ne me souviens plus des dét ails<br>techniques, mais en gros chkrootkit compare la sortie de ps avec le contenu<br>d'un répertoire recensant les processus en cours (/proc/ps?), histoire de
<br>voir si ps occulte certains résultats.<br><br>Il suffit que un ou 2 p rocessus soient crées/supprimés entre l'exécution du ps<br>et le list ing du répertoire. Ça arrive une fois de temps en temps.<br><br>Si en r e-exécutant chkrootkit en console, ça n'apparaît plus, c'est que a
<br>priori c'est OK.<br><br>> Enfin je comprend pkoi il me mail cà , i l devrait me sortir les mêmes<br>> résultats en ligne de commande... <br><br>--<br>~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~< br>
Gurvan Huiban<br><br> " ;My mother used to make coffee this way...<br>   ; Hot...<br> Strong... <br> And good." & nbsp; (from "Once upon in the West")<br><br></blockquo te></div><br>
------=_Part_3717_23051867.1150796049127--
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Ok j'ai passé d'autres outils que chkrootkit pour être sûr et en effe t tout me parait clean. Merci Gurvan pour ta réponse ! OxX
Le 20/06/06, Gurvan Huiban a écrit :
On Tuesday 20 June 2006 04:34, OXx wrote: > J'utilise chkrootkit > chkrootkit version 0.44 sur une Debian Sarge. > J'ai un problème j'ai reçu dernièrement un mail de ce type: > > /etc/cron.daily/chkrootkit: > You have 2 process hidden for readdir command > You have 2 process hidden for ps command > Warning: Possible LKM Trojan installed > > Lorsque je vais sur la machine et que je relance à la main chkrootkit avec > les même paramètres contenus dans /etc/cron.daily/chkrootkit ou m ême avec > un chkrootkit -c. > Il me met Nothing found tout est ok... > Quelqu'un a déjà eu un soucis avec de fausses alertes?
Ce type de fausse alerte peut arriver. Je ne me souviens plus des détai ls techniques, mais en gros chkrootkit compare la sortie de ps avec le contenu d'un répertoire recensant les processus en cours (/proc/ps?), histoire de voir si ps occulte certains résultats.
Il suffit que un ou 2 processus soient crées/supprimés entre l'exéc ution du ps et le listing du répertoire. Ça arrive une fois de temps en temps.
Si en re-exécutant chkrootkit en console, ça n'apparaît plus, c'est que a priori c'est OK.
> Enfin je comprend pkoi il me mail cà , il devrait me sortir les mêm es > résultats en ligne de commande...
Ok j'ai passé d'autres outils que chkrootkit pour être sûr et en effe t tout me parait clean.<br>Merci <span class="gmail_quote"><b class="gm ail_sendername">Gurvan </b></span>pour ta réponse !<br>OxX<br><br><div><s pan class="gmail_quote"> Le 20/06/06, <b class="gmail_sendername">Gurvan Huiban</b> <<a href= "mailto:"></a>> a éc rit :</span><blockquote class="gmail_quote" style="border-left: 1px sol id rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;"> On Tuesday 20 June 2006 04:34, OXx wrote:<br>> J'utilise chkrootkit<br>& gt; chkrootkit version 0.44 sur une Debian Sarge.<br>> J'ai un problèm e j'ai reçu dernièrement un mail de ce type:<br>><br>> /etc/cron. daily/chkrootkit: <br>> You have 2 process hidden for readdir command<br>> You have 2 p rocess hidden for ps command<br>> Warning: Possible LKM Trojan installed <br>><br>> Lorsque je vais sur la machine et que je relance à la ma in chkrootkit avec <br>> les même paramètres contenus dans /etc/cron.daily/chkrootkit o u même avec<br>> un chkrootkit -c.<br>> Il me met Nothing found tou t est ok...<br>> Quelqu'un a déjà eu un soucis avec de fausses alert es?<br> <br>Ce type de fausse alerte peut arriver. Je ne me souviens plus des dét ails<br>techniques, mais en gros chkrootkit compare la sortie de ps avec le contenu<br>d'un répertoire recensant les processus en cours (/proc/ps?), histoire de <br>voir si ps occulte certains résultats.<br><br>Il suffit que un ou 2 p rocessus soient crées/supprimés entre l'exécution du ps<br>et le list ing du répertoire. Ça arrive une fois de temps en temps.<br><br>Si en r e-exécutant chkrootkit en console, ça n'apparaît plus, c'est que a <br>priori c'est OK.<br><br>> Enfin je comprend pkoi il me mail cà , i l devrait me sortir les mêmes<br>> résultats en ligne de commande... <br><br>--<br>~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~< br> Gurvan Huiban<br><br> " ;My mother used to make coffee this way...<br>   ; Hot...<br> Strong... <br> And good." & nbsp; (from "Once upon in the West")<br><br></blockquo te></div><br>
------=_Part_3717_23051867.1150796049127--
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
