Le 02.06.2004 10:45:35, fred a écrit :
François Boisson <user.anti-spam <at> maison.homelinux.net> writes:> chrootkit (SuckIT en l'occurrence). Du coup j'ai développé un scriptpuis > un petit programme en Caml qui détecte les processus cachés et indique le> répertoire d'exécution (même caché), le pid et la ligne de commande.Ce > programme correspond au paquet "cacheproc" et se trouve sur > deb ftp://boisson.homeip.net/woody/ ./ Merci à tous pour vos réponses. Cependant, 2 petites remarques : 1) sniffit lancé la babasse locale ne se fait pas non plus détecter par chkrootkit. 2) Justement, à propos de lui, il me détecte des processus cachés lorsqu'il check lkm : Checking `lkm'... You have 5 process hidden for readdir command You have 5 process hidden for ps command Warning: Possible LKM Trojan installed Le chercheprocess de François ne détecte rien, lui. C'est quoi lkm ? locate ou apropos ne donne rien à ce sujet.
LKM, c'est un trojan.Il est souvent reporté par chkrootkir. C'est le plus souvent un faux positif. Ca déoend de la version de psmisc que vous avez installée.
--
- Jean-luc
Et qu'est qu'on fait en général lorsque l'on obtient ce genre de message ? Il semblerait que chkrootkit me détecte ce trojan que lorsque je me connecte. Avant la connex, tout est clean. Une idée ? Merci.
pgpbZS6YLx9TN.pgp
Description: PGP signature
