François Boisson <user.anti-spam <at> maison.homelinux.net> writes:
> chrootkit (SuckIT en l'occurrence). Du coup j'ai développé un script puis > un petit programme en Caml qui détecte les processus cachés et indique le > répertoire d'exécution (même caché), le pid et la ligne de commande. Ce > programme correspond au paquet "cacheproc" et se trouve sur > deb ftp://boisson.homeip.net/woody/ ./ Merci à tous pour vos réponses. Cependant, 2 petites remarques : 1) sniffit lancé la babasse locale ne se fait pas non plus détecter par chkrootkit. 2) Justement, à propos de lui, il me détecte des processus cachés lorsqu'il check lkm : Checking `lkm'... You have 5 process hidden for readdir command You have 5 process hidden for ps command Warning: Possible LKM Trojan installed Le chercheprocess de François ne détecte rien, lui. C'est quoi lkm ? locate ou apropos ne donne rien à ce sujet. Et qu'est qu'on fait en général lorsque l'on obtient ce genre de message ? Il semblerait que chkrootkit me détecte ce trojan que lorsque je me connecte. Avant la connex, tout est clean. Une idée ? Merci.
