Forum Linux.général Alerte au Trojan !!!

Posté par (page perso) .
Tags : aucun
0
4
fév.
2005
Le sondage actuel (http://linuxfr.org/poll/send,100.html(...)) est (malheureusement) d'actualité pour moi.

J'exécute tous les soirs, sur mon serveur maison, le programme chkrootkit (http://www.chkrootkit.org(...)) (qui permet de détecter les rootkits et autres trojans, du moins certains).

Ce matin, en regardant mes logs, j'ai eu la frayeur de voir qu'il m'en avait trouvé un: LKM (Linux Kernel Module).
Après avoir repris mes esprits, j'ai quelque peut investigé:
'chkrootkit' utilise un programme de son cru (chkproc) qui compare la sortie de la commandes 'ps' avec le contenu de /proc pour voir si certains processus ne seraient pas dissimulés.

En l'exécutant directement, dans une boucle, il me trouve effectivement des processus cachés, mais uniquement de temps en temps.

Ce qui me rassure, c'est:
- que je l'ai également exécuté sur ma machine au boulot, et idem, il me trouve des processus cachés (et je ne pense pas que celle-ci puissent être rootkitée),
- j'utilise parallèlement un autre chasseur de rootkits, rkhunter (http://www.rootkit.nl/rss/rootkitnews.xml(...)), qui lui n'a rien trouvé,
- sur le site de chkrootkit, il précisent que chkproc peut retourner des faux positifs (si des processus sont créés et détruits lors de l'exécution du programme).

Alors, qu'en pensent les experts en sécurité?
Avez-vous déjà été confronté à ce problème ? Devrais-je réinstaller mon serveur ?
  • # init

    Posté par . Évalué à 3.

    Vérifie le binaire de init, en le comparant avec celui que tu as sur ton CD-ROM d'installation (si tu en as un). J'ai entendu parler d'un rootkit qui modifiait ce binaire. Ah, et puis vérifie aussi celui de ps, on ne sait jamais. Si tu ne trouves rien, ça ne signifie hélas rien, mais dans le cas contraire, il n'y aura pas photo.

    Concernant le problème de ces faux positifs :

    http://linux.cvf.net/installing_chkrootkit.html(...)

    Il est vrai que le fait de n'en détecter que par intermittence fait penser au problème qui y est décrit, à savoir celui de processus lancés très rapidement, mais on ne sait jamais... Sois prudent, et attends les commantaires qui vont suivre (enfin, j'espère).

    P.S. : est-ce que tu étais à jour dans tes démons ou pas?
    • [^] # Re: init

      Posté par (page perso) . Évalué à 2.

      > P.S. : est-ce que tu étais à jour dans tes démons ou pas?

      C'est une debian stable à jour (au niveau sécurité :), avec quelques backports (aucuns concernant des services réseaux).

      J'ai vérifié la signature md5 de init et ps, comparées à celles des paquetages deb téléchargés sur debian.org, et ceci sur une autre machine (donc pas le md5sum du serveur, qui lui aussi pourrait être "corrompu".
      résultat: les signatures correspondent.


      Ceci m'amène une autre question: quelle est l'utilité d'un programme (de sécurité) qui renvoit des faux positifs ?
      C'est un peu comme une alarme de voiture qui se déclenche à tout va. Au bout du compte, on n'y prête plus attention, et lorsqu'elle sonne enfin pour une bonne raison, on ne se déplace même pas pour voir ce qui ce passe.
    • [^] # Re: init

      Posté par (page perso) . Évalué à 3.

      C'est pas parce que l'init et le ps qui sont sur le disque sont différents de ceux du CD d'installation qu'il a été rootkiter. S'il y a eu des màj entretemps les fichiers peuvent être différents "normalement".

      pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.

      • [^] # Re: init

        Posté par (page perso) . Évalué à 1.

        Exact. C'est pour cela que j'ai comparé avec les .deb téléchargés depuis www.debian.org, correspondant aux dernière maj de sécurité.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.