On Tue, 1 Jun 2004 15:23:20 +0000 (UTC) fred <[EMAIL PROTECTED]> wrote:
> bonjour, > > Par curiosité, j'ai « sniffé » mon portable via eth0 en même temps > qu'était lancé chkrootkit sur le dit portable. > > Or, d'une part, le sniff me répond que le mode « promiscuous » est > activé(ce terme de promiscuous est assez... flou pour moi, dans ce cas). > > Et d'autre part, chkrootkit sur le portable ne détecte aucun sniff sur > eth0. > > De quoi est-ce donc ? > Aurais-je loupé quelque chose ? > Non, le mode promiscuous indique que la carte ethernet capture toutes les trames Ethernet et âs seulement celle en réseau. Quant à chkrootkit, je m'en méfie beaucoup pour deux choses: 1) Il ne détecte pas tous les modes promiscuous (du moins jusqu'en Janvier). Le seul test vraiment sur que j'ai trouvé et la commande "ip link". Cela est du à une deuxième méthode pour mettre les interfaces en mode promiscuous. 2) La deuxième est que en situation, il ne m'a servi à rien. Fin décembre, suite à une négligence de ma part (serveur wu-ftpd non à jour), et en utilisant une faille du noyau (que j'étais en train de recompiler), un rootkit a été installé sur ma machine à l'insu de chrootkit (SuckIT en l'occurrence). Du coup j'ai développé un script puis un petit programme en Caml qui détecte les processus cachés et indique le répertoire d'exécution (même caché), le pid et la ligne de commande. Ce programme correspond au paquet "cacheproc" et se trouve sur deb ftp://boisson.homeip.net/woody/ ./ source: deb-src ftp://boisson.homeip.net/source ./ Je l'ai intégré dans crontab et suis averti par mail en cas de processus caché. Il peut y avoir de rares fausses alertes pour un processus fugitif (3 fois en 5 mois) François Boisson
