vendredi 25 juillet
April | Agenda du libre | Framasoft | Léa-Linux | Lolix | JeSuisLibre | Eyrolles | LinuxMag | Veni, Vidi, Libri | InLibroVeritas | LinuxGraphic
Faire un don ! | | style | statistiques | contactez-nous | plan | lettre d'information
Accueil :: Dépêches :: Archives :: Proposer une dépêche :: Journaux :: Forums :: Entretiens :: Suivi :: RDF

Retourner aux forums || Retourner au forum Linux.debutant

Linux.debutant : alerte chkrootkit

Posté par zgnouf () le 21 avril 2006
Bonjour,

J'ai un petit souci, voire un gros...
J'ai fait un chkrootkit pour voir si jamais mon ordi était infecté.
Tout est not infected sauf une alerte :

Checking `sniffer'... lo: not promisc and no packet sniffer sockets
eth0: PACKET SNIFFER(/sbin/dhclient3[6618])

Question : est-ce grave? Comment m'en débarasser? J'ai fait un kill mais...
Est-ce possible que le firewall (guarddog) engendre un faux positif?

Merci pour tout aide...

> Lire le message (5 commentaires, moyenne: 1,8).  

Cette discussion est archivée, il n'est plus possible de laisser des commentaires.

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.

client DHCP ( cf. man dhclient3 )

Posté par Moun's (page perso, ) le 21/04/2006 à 16:22. (lien). Évalué à 3.

c'est ton client DHCP qui permet à ta machine de trouver son adresse IP si un serveur DHCP répond.

il faut absolument retirer ce logiciel maléfique qui fourni à un serveur tiers des informations cruciale sur ta machine et reconfigure ta machine selon des informations qui peuvent changer. Il fait changer ton adresse IP tout seul, change tes DNS tout seul, le serveur WINS tout seul.

il peut meme changer ton reverse DNS sans te prevenir !!!!!

ce spyware,vers, cheval de troie, virus et rootkit ne te demande jamais de confirmation ...

De plus ce programme genere un traffic reseau regulier mais tres dicret pour mieux tromper ton ennemi.

pour verifier qu'il y a un probleme, fait un ssh 127.231.32.12 ... c'est une des IP utilisé par la team de hacker qui est derriere ... cela doit te donner un résultat qui ressemble au contenu de ton ~/ ( ton homedirectory ).

IL FAUT REINSTALLER TON SYSTEME EN URGENCE !!!!!



PS & mentions légales :
toute prise au premier degre de ce message est au risque et peril de celui qui detruit son systeme. tout résultat ressemblant à une panne de réseau et à la nécessité de reinstaller sa distrib, n'est qu'un manquement à la lecture du manuel et à cette notice.

Le controle d'un rootkit ne se fait que depuis un liveCD pour plus de transparence, sinon c'est comme demandé à un Norton Antivirus de detecté un rootkit qui l'a désintallé et remplacé par un programme qui dit "aucun virus decouvert". La lecture du resultat d'un controle de rootkit ne peut se faire qu'à la lueur d'un soupçon de connaissance du fonctionnement d'un systeme Linux.

  • [^]Re: client DHCP ( cf. man dhclient3 )

    Posté par zgnouf () le 21/04/2006 à 16:31. (lien). Évalué à 1.

    Je sais ce qu'est dhcp... Je m'étonne juste que cela soit déclaré comme une alerte et voulais donc savoir si le processus peut, d'une façon ou d'une autre être infecté par quelque chose qui viendrait le modifier....
    J'ai posté ce message sous Linux débutant comme tu peux le voir et non sous Linux geek... Aussi excuse-moi de n'avoir pas passé la nuit dernière à lire 160 pages de man mais j'avais d'autres choses à faire...
    Rien ne t'empêchait de faire une réponse un peu plus éclairante et moins condescendante...

    • [^]Re: client DHCP ( cf. man dhclient3 )

      Posté par Moun's (page perso, ) le 21/04/2006 à 16:50. (lien). Évalué à 3.

      moi@home $ man dhclient3 | wc -l
      Remise en forme de dhclient3(8), attendez SVP...
      218
      moi@home $

      Deux cent dix huits lignes, ce n'est pas la mer à boire ... juste un verre d'eau :)

      Le controle sérieux d'un rootkit ne peut se faire que depuis un systeme tiers.
      un LiveCD est une solution pas trop mauvaise pour le faire.

      Maintenant, google reste une bonne aide ( et pour avoir lu les premiers liens, pleins d'informations s'y trouve ).

      pour info un client DHCP ouvre une socket UDP .
      Cette socket est en mode BroadCast ( ou SNIFFER ) car elle va tenter de capter toutes les informations pouvant la concerner.
      La raison de ce mode est qu'à priori un client DHCP ne peut pas connaitre son serveur DHCP et son adresse IP à l'avance, il doit donc envoyer un message à tout le monde, et n'importe qui peut lui répondre.

      • [^]Re: client DHCP ( cf. man dhclient3 )

        Posté par zgnouf () le 21/04/2006 à 17:32. (lien). Évalué à 1.

        Merci pour ces infos... Je tenterai donc de vérifier cela avec un live CD à l'avenir... Ce qui me titillait était que chkrootkit sortait une alerte pour quelque chose qui me semblait 100% normal, c'est pourquoi je me demandais si quelque chose avait pu se greffer sur ce processus...

        • [^]Re: client DHCP ( cf. man dhclient3 )

          Posté par Frédéric COIFFIER () le 21/04/2006 à 17:37. (lien). Évalué à 1.

          Il y a peut-être des rootkits qui remplacent le binaire /sbin/dhclient3... En te l'indiquant, ça peut éveiller ta curiosité. Ce n'est pas plus mal finalement.

Revenir en haut de page || Retourner aux forums || Retourner au forum Linux.debutant

Run by Team LinuxFr.org

Cette page a été générée par Templeet en 0.0489s (dont 0.0048 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.