Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
3452 connectés 

  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  Me suis-je fais hacker ?

 
 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Me suis-je fais hacker ?

n°372556
Goon
Posté le 09-12-2003 à 17:36:21  profilanswer
 

J'ai lancé un chrootkit par acquis de conscience. Voici la fin du log, elle m'inquiète un peu :
 

Citation :

Checking `lkm'... You have    17 process hidden for readdir command
You have    17 process hidden for ps command
Warning: Possible LKM Trojan installed
Checking `rexedcs'... not found
Checking `sniffer'...
lo: not promisc and no packet sniffer sockets
eth1: PACKET SNIFFER(/sbin/dhclient[1130])
Checking `w55808'... not infected
Checking `wted'... nothing deleted
Checking `scalper'... not infected
Checking `slapper'... not infected
Checking `z2'... nothing deleted

mood
Publicité
Posté le 09-12-2003 à 17:36:21  profilanswer
 

n°372560
lebibi
Notre torture c'est la tourtel
Posté le 09-12-2003 à 17:42:12  profilanswer
 

j'ai le même genre de reponse et je ne pense pas être infecté par quoi que ce soit :)
 

Code :
  1. Checking `lkm'... You have     4 process hidden for ps command
  2. Warning: Possible LKM Trojan installed

n°372575
Aragorn_1e​r
Le jihad butlérian est proche
Posté le 09-12-2003 à 18:25:13  profilanswer
 

Lebibi a écrit :

j'ai le même genre de reponse et je ne pense pas être infecté par quoi que ce soit :)
 

Code :
  1. Checking `lkm'... You have     4 process hidden for ps command
  2. Warning: Possible LKM Trojan installed




 
Tu utilise debian je suppose ?  
Pour ces 4 process là apparement c'est un bug  
http://bugs.debian.org/cgi-bin/bug [...] bug=217525
 
Moi aussi j'ai ca chez moi.
Si tu fais un ps aux , tu pourras voir que ca ne tourne pas ronds puisque il y a 4 process avec un PID de 0.
 
Ceux là :
root         0  0.0  0.0     0    0 ?        SWN  Dec04   0:01 [ksoftirqd_CPU0]
root         0  0.0  0.0     0    0 ?        SW   Dec04   0:01 [kswapd]
root         0  0.0  0.0     0    0 ?        SW   Dec04   0:00 [bdflush]
root         0  0.0  0.0     0    0 ?        SW   Dec04   0:00 [kupdated]
 
A+


Message édité par Aragorn_1er le 09-12-2003 à 18:26:35
n°372576
Aragorn_1e​r
Le jihad butlérian est proche
Posté le 09-12-2003 à 18:29:06  profilanswer
 

Goon, tu peux nous montrer un ps aux pour voir si c ets le meme bug ?
Tu est en quel distirb sinon ?
A+

n°372579
Goon
Posté le 09-12-2003 à 18:34:54  profilanswer
 

Je suis sous Debian Sid. Par contre, j'ai pas de processus avec le PID à 0.

n°372585
lebibi
Notre torture c'est la tourtel
Posté le 09-12-2003 à 18:41:18  profilanswer
 

Aragorn_1er a écrit :


 
Tu utilise debian je suppose ?  
Pour ces 4 process là apparement c'est un bug  
http://bugs.debian.org/cgi-bin/bug [...] bug=217525
 
Moi aussi j'ai ca chez moi.
Si tu fais un ps aux , tu pourras voir que ca ne tourne pas ronds puisque il y a 4 process avec un PID de 0.
 
Ceux là :
root         0  0.0  0.0     0    0 ?        SWN  Dec04   0:01 [ksoftirqd_CPU0]
root         0  0.0  0.0     0    0 ?        SW   Dec04   0:01 [kswapd]
root         0  0.0  0.0     0    0 ?        SW   Dec04   0:00 [bdflush]
root         0  0.0  0.0     0    0 ?        SW   Dec04   0:00 [kupdated]
 
A+


 
oui debian. je vais regarder sur le site

n°372586
Aragorn_1e​r
Le jihad butlérian est proche
Posté le 09-12-2003 à 18:43:39  profilanswer
 

Biz ... chkrootkit te dis tjrs 17 process ?
 
A+

n°372591
disconect
Posté le 09-12-2003 à 18:52:14  profilanswer
 

je viens d'essayer chkrootkit sur ma passerelle (debian avec serveur ssh, le tt en stable). :

Odin:~# chkrootkit
ROOTDIR is `/'
Checking `amd'... not found
Checking `basename'... not infected
Checking `biff'... not found
Checking `chfn'... not infected
Checking `chsh'... not infected
Checking `cron'... not infected
Checking `date'... not infected
Checking `du'... not infected
Checking `dirname'... not infected
Checking `echo'... not infected
Checking `egrep'... not infected
Checking `env'... not infected
Checking `find'... not infected
Checking `fingerd'... not found
Checking `gpm'... not found
Checking `grep'... not infected
Checking `hdparm'... not found
Checking `su'... not infected
Checking `ifconfig'... not infected
Checking `inetd'... not infected
Checking `inetdconf'... not infected
Checking `identd'... not found
Checking `killall'... not infected
Checking `ldsopreload'... not infected
Checking `login'... not infected
Checking `ls'... not infected
Checking `lsof'... not infected
Checking `mail'... not infected
Checking `mingetty'... not found
Checking `netstat'... not infected
Checking `named'... not found
Checking `passwd'... not infected
Checking `pidof'... not infected
Checking `pop2'... not found
Checking `pop3'... not found
Checking `ps'... not infected
Checking `pstree'... not infected
Checking `rpcinfo'... not infected
Checking `rlogind'... not found
Checking `rshd'... not found
Checking `slogin'... not infected
Checking `sendmail'... not infected
Checking `sshd'... not infected
Checking `syslogd'... not infected
Checking `tar'... not infected
Checking `tcpd'... not found
Checking `top'... not infected
Checking `telnetd'... not found
Checking `timed'... not found
Checking `traceroute'... not found
Checking `write'... not infected
Checking `aliens'... no suspect files
Searching for sniffer's logs, it may take a while... nothing found
Searching for HiDrootkit's default dir... nothing found
Searching for t0rn's default files and dirs... nothing found
Searching for t0rn's v8 defaults... nothing found
Searching for Lion Worm default files and dirs... nothing found
Searching for RSHA's default files and dir... nothing found
Searching for RH-Sharpe's default files... nothing found
Searching for Ambient's rootkit (ark) default files and dirs... nothing found
Searching for suspicious files and dirs, it may take a while... nothing found
Searching for LPD Worm files and dirs... nothing found
Searching for Ramen Worm files and dirs... nothing found
Searching for Maniac files and dirs... nothing found
Searching for RK17 files and dirs... nothing found
Searching for Ducoci rootkit... nothing found
Searching for Adore Worm... nothing found
Searching for ShitC Worm... nothing found
Searching for Omega Worm... nothing found
Searching for Sadmind/IIS Worm... nothing found
Searching for MonKit... nothing found
Searching for anomalies in shell history files... nothing found
Checking `asp'... not infected
Checking `bindshell'... INFECTED (PORTS:  1524 31337)
Checking `lkm'... nothing detected
Checking `rexedcs'... not found
Checking `sniffer'...   eth1 is not promisc ppp0 is not promisc  
Checking `wted'... nothing deleted
Checking `z2'...  
nothing deleted
Odin:~#


Bindshell ?!?....hmm...sur ces ports j'ai juste portsentry qui ecoute... :/ c normal le "bindshell" ?

n°372808
Aragorn_1e​r
Le jihad butlérian est proche
Posté le 10-12-2003 à 09:35:14  profilanswer
 

Dans ton cas disconect, c'est apparement portsentry qui provoque ca !
Donc desactive le et relance chkrootkit
Sinon pour chkrootkit tapez cela :  
/usr/sbin/chkrootkit -q | /bin/grep -vE '(eth[0-9]+:*[0-9]* *is not promisc)'
pourque se soit le moins verbeux possible !
 
A+


Message édité par Aragorn_1er le 10-12-2003 à 09:35:43

Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  Me suis-je fais hacker ?

 

Sujets relatifs
Me suis fait hacker mon serveurEst ce que j'ai failli me faire hacker mon server apache ????
hacker des sandwiches... 
Plus de sujets relatifs à : Me suis-je fais hacker ?

Forum MesDiscussions.Net, Version 2010.2
(c) 2000-2011 Doctissimo
Page générée en 0.040 secondes

Copyright © 1997-2025 Groupe LDLC (Signaler un contenu illicite / Données personnelles)