Journal : Détection de rootkit
Posté par qdm () le 01 octobre 2007
J'ai des soupçons sur une machine compromise. A priori, le mieux serait de passer rootkit hunter dessus à partir d'un live cd, mais y a t il des distributions spécialisées ? Et qu'en est il des mises à jour de la base de signatures ? Si vous avez d'autres pistes, n'hésitez pas.
> Lire le journal (32 commentaires, moyenne: 4,2).
Vous avez demandé le commentaire #871316.
Run by 
Cette page a été générée par Templeet en 0.0649s (dont 0.0066 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
Share and enjoy
D'où te viennent ces soupçons ? M'enfin, c'est juste histoire d'alimenter un peu ma paranoïa...
Qui invente, qui réinvente, quelle importance ? (Yakari, tome 16)
[^]Re: Share and enjoy
Ne t'inquiète pas tant que ça - quand bien même tu ne serais pas parano - ça ne veut pas dire qu'ils ne sont pas déjà après toi :D
[^]Re: Share and enjoy
Je vois... « Même les paranoïaques ont des ennemis »
Qui invente, qui réinvente, quelle importance ? (Yakari, tome 16)
[^]Re: Share and enjoy
Station de travail qui ne tourne normalement avec aucun service vers l'extérieur. Je travaillais dessus quand le détecteur de processus fous de KDE m'a dit que netstat consommait trop de CPU. Bien sûr, je n'utilisais pas netstat à ce moment là. J'ai éteint la machine et je vais commencer l'autopsie demain.
[^]Re: Share and enjoy
c'est quoi ce detecteur de processus fou? Il faut activer une option?
-- Front de Libération des Sources --
Pour stopper les trolls, citons les sources !
[^]Re: Share and enjoy
clic droit sur la barre des taches KDE, puis le menu "ajouter une applet au tableau de bord".
[^]Re: Share and enjoy
Si tu utilisais FF ou Seamonkey ou un de ses avatars, c'est peut-être normal, ils utilisent netstat pour récupérer dieu sait quelle info et ils laissent trainer des zombies dans tous les coins (les cochons !).
[^]Re: Share and enjoy
Ohh... T'aurais un pointeur vers ce comportement ? Parce que bon, dans l'hypothèse où j'aurais été rootkité, ça m'étonnait franchement qu'un programme aussi trivial que le détecteur de processus fous (qui doit juste être une surcouche de top ou d'un truc de ce style) le détecte.
[^]Re: Share and enjoy
Bon à en croire le changelog d'Iceweasel (http://packages.debian.org/changelogs/pool/main/i/iceweasel/(...) ), toute trace d'utilisation de netstat devrait avoir disparu d'Iceweasel. Mais vu comment il semble avoir été retors, la bonne nouvelle c'est qu'il pourrait encore survivre dans un coin du binaire.
Mais bon, comme il est officiellement mort, l'hypothèse du rootkit tient toujours la route...
Problème (ou bonheur), mes tests de rootkit sur la bécane n'ont pour l'instant rien révélé d'anormal. Peut être s'orienter vers un script qui loggerait au cas où le processus firefox-bin appellerait netstat....
[^]Re: Share and enjoy
> Peut être s'orienter vers un script qui loggerait
Ou alors utiliser SELinux (que tu peux parametrer avec Debian Etch, sarge dispo mais plus de manips) pour logger ce qu'il se passe. La page qui va bien : http://wiki.debian.org/SELinux/Setup
[^]Re: Share and enjoy
Sinon si tu compiles ton petit noyau avec amour, tu peux aussi ajouter GRSEC (http://grsecurity.net) que j'ai tendance a utiliser pour des serveurs exposes.
Le projet est actif mais avec un peu de retard sur les patches. Faut dire que le mec est tout seul.
[^]Re: Share and enjoy
grsecurity-2.1.11-2.6.22.9-200709280630.patch September 28 2007 17:57:54
kernel 2.6.22.9 2007-09-26 18:10 UTC
kernel 2.6.23-rc9-git1 2007-10-02 19:01 UTC
pas si en retard que ça.
Je recommande aussi ce projet