Bonjour,

Depuis que j’ai installé un nouveau pare-feu / détecteur d’intrusion pour filtrer mon réseau local, j’ai découvert sans doute un problème; SNORT me détecte ceci :

et là je vois ça :
HIDDEN Processes Found: 1

Qu’en dois-je conclure ?

Si tu fais un # hunide-tcptu verras certainement si quelque chose cloche avec netstat comme dans cet exemple.

Tu connais l’histoire du flic à la gâchette facile pour qui tout le monde était suspect ?
Il a fini par tuer sa fille dans la nuit croyant tirer sur une voleuse …

D’après ce que je lis de la doc, ce programme se base sur /proc et des outils standards comme ps et netstat pour les éprouver.
Entre le moment où l’information est prise et celui où elle est comparée,il peut arriver que le processus soit interrompu,change d’état…
Lorsque tu regardes le retour de netstat ou ps ,des processus ou des connexions éteints peuvent encore apparaître.

sourceforge.net/projects/unhide/ … ic/5313481

Le conseil est ici de lancer unhide avec l’option -v afin de repérer ces incohérences.

j’ai téléchargé la nouvelle version de unhide pour tester à nouveau et j’ai un rapport qui ne me semble pas normal du tout quand je lance unhide sys :

une idée

Mettre le rapport entre les balises [/code] ce qui améliore le confort de lecture.

j’ai saisi la commande ci-dessus, malheureusement elle n’a donné aucun résultat

je suis en squeeze (donc stable avec les dépôts recommandés, j’avais oublié de le préciser au début du post).

ce que je peux préciser c’est que lorsque je passe en mode graphique et que je lance icedove et iceweasel, la commande unhide sys me renvoie des logs similaires à console-kit-deamon, donc c’est pas très encourageant tout ça

(j’ai pas tout mis dans le log car il serait long à afficher et sans grand intérêt)

Vu le temps que prend une netinstall si j’étais pressé, je réinstallerais mon système mais là, de toute façon le port est bloqué par mon pare-feu et ce qui transite sont les protocoles les plus basiques (80,443,53 et les ports des mails), donc je ne suis pas trop stressé. Puis j’aimerais vraiment déloger la bestiole qui met en alerte snort, ce serait plus intéressant.

[quote=“guiguitarux”]j’ai saisi la commande ci-dessus, malheureusement elle n’a donné aucun résultat

je suis en squeeze (donc stable avec les dépôts recommandés, j’avais oublié de le préciser au début du post).
[/quote]
Alors tu dois installer ce paquet ww2.ac-creteil.fr/reseaux/system … eseau.html en fin de page

La commande netstat tulpan, netstat avec des options te permettra de voir tes connections actives (internet et socket)
La commande ps aux établira les processus actifs, personnellement je lui préfère htop packages.debian.org/squeeze/htop

résultat de la commande ps aux :

netstat -nat

Il faut que tu compares les résultats de netstat (sans option affiche la totalité des connexions)avec ceux de ps, et rechercher les incohérences.

À mon niveau, je ne peux que te conseiller le manuel de référence debian.org/doc/manuals/secur … ex.fr.html Courage, tu as du pain sur la planche, mais comme dit etxeberrizahar, attention de ne pas tomber dans la paranoïa (bien que se ne soit pas les termes qu’il emploie).

mouais, grosso modo, au risque de passer pour un parano, mieux faut se taire et formater. Le problème avait l’air complexe car snort me renvoit tous les jours une alerte similaire à la différence que le port incriminé change à chaque fois ! Alors je laisse tomber. Merci toutefois pour vos conseils précieux, j’aurais appris les rudiments de détection d’intrusion même si dans mon cas, cela n’aura servi à rien.

Rien ne dit que tu ais réellement une intrusion dans ton système…Je vais re chercher dans mes notes, la/les façons dont j’ai pu m’inspirer dans ces cas là

Re :
Tu as de quoi faire avec la section sécurité du wiki irisa.fr/prive/bcousin/Cours … aux.2P.pdf .

j’ai installé chkrootkit, y a un truc pas clair non plus :

résultat de rkhunter (je ne l’avais pas mis!) :

[quote]System checks summary

File properties checks…
Files checked: 131
Suspect files: 2

Rootkit checks…
Rootkits checked : 241
Possible rootkits: 2
Rootkit names : Xzibit Rootkit, Xzibit Rootkit

Applications checks…
All checks skipped

The system checks took: 41 seconds

All results have been written to the log file (/var/log/rkhunter.log)

One or more warnings have been found while checking the system.
Please check the log file (/var/log/rkhunter.log)
[/quote]

le log de rkhunter :

[quote][09:38:11] Warning: Checking for possible rootkit strings [ Warning ]
[09:38:11] Found string ‘hdparm’ in file ‘/etc/init.d/hdparm’. Possible rootkit: Xzibit Rootkit
[09:38:11] Found string ‘hdparm’ in file ‘/etc/init.d/.depend.boot’. Possible rootkit: Xzibit Rootkit
[09:38:11]
[/quote]

bugs.debian.org/cgi-bin/bugreport.cgi?bug=561308

bugs.debian.org/cgi-bin/bugreport.cgi?bug=576680

Qu’est-ce qui te fait penser que le système puisse être pourri mis à part ces rapports ?

Tu installes des binaires d’origine indéterminée hors des dépôts ?
Tu as des ports ouverts aux quatre vents ? Tu remarques du trafic avec de la friture en ligne ?
Tu donnes le mot de passe de root à tous ceux qui le demandent ?
Tu lances des scripts récupérés d’on ne sait où ?

Un test de séroposivité empêchera (peut être) une contamination ultérieure.Il n’empêche qu’un préservatif protègera mieux qu’un test (de surcroît buggué).
Au lieu de faire preuve de méfiance à vérifier combien le système serait malade,
mieux vaudrait se poser des questions sur l’administration et se prémunir contre les catastrophes éventuelles.
Montages discriminatoires en noexec,nosuid,read-only, sommes de contrôle,sauvegardes,Bastille …

Distinguer ce qui dépend de toi,de ton administration et ce qui dépend des empaqueteurs debian.
Si debian n’est pas digne de ta confiance, ce n’est pas la peine d’y coller des vérificateurs rootkits qui bugguent.Ces mêmes dépôts debian dont tu sembles te méfier fournissent rthunter. Qui te garantit que le chasseur de rootkit fourni par debian soit digne de confiance ?

“À cheval donné on ne regarde pas la denture”.

forums.debian.net/viewtopic.php?f=10&t=48549

La base de détection de rkhunter serait donc en cause pour cette fausse alerte sur hdparm.

Au risque de paraître déplaisant, guiguitarux as-tu seulement fais un simple copier coller de tes résultats sur un navigateur ?

Quels est le ports théoriquement sollicité par ton processus non identifié ?
Avec un ps faux tu pourra voir si le processus à un parents ou non, peut-tu nous renvoyer juste le résumé de la commande à propose du numéro de processus ?
Si tu possède déjà le nom du processus essai avec un : ps -faux |grep [Nom du processus] pour avoir son numéro afin de le tuer avec un kill et voir si il redémarre.
Il redémarre lorsque tu lui coupe la gueu… ( bien entendu si ce n’est pas un processus enfants ou non fermé lié à apache )?

Mais je mets ma main à coupé que c’est encore du faux positifs tous ce bruit

A la base c’est pas rkhunter ni chkrootkit qui me laissent penser que le système est corrompu, ce sont les logs de mon détecteur d’intrusion (snort) d’une autre machine qui sert de routeur/pare-feu/filtrant.

Et faut pas s’énerver, y a aucun enjeu… Quand bien même s’il y en avait, ça ne m’empêcherait pas d’aller promener la chienne de ma femme, de faire un plongeont dans la piscine municipale etc…

J’ai eu une alerte, fiable ou pas, je ne ferme pas les yeux c’est tout

[quote]# ps faux
USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND
root 2 0.0 0.0 0 0 ? S 09:25 0:00 [kthreadd]
root 3 0.4 0.0 0 0 ? S 09:25 0:31 _ [ksoftirqd/0]
root 6 0.0 0.0 0 0 ? S 09:25 0:00 _ [migration/0]
root 7 0.0 0.0 0 0 ? S 09:25 0:00 _ [watchdog/0]
root 8 0.0 0.0 0 0 ? S 09:25 0:00 _ [migration/1]
root 10 0.0 0.0 0 0 ? S 09:25 0:00 _ [ksoftirqd/1]
root 12 0.0 0.0 0 0 ? S 09:25 0:00 _ [watchdog/1]
root 13 0.0 0.0 0 0 ? S 09:25 0:00 _ [migration/2]
root 15 0.0 0.0 0 0 ? S 09:25 0:00 _ [ksoftirqd/2]
root 16 0.0 0.0 0 0 ? S 09:25 0:00 _ [watchdog/2]
root 17 0.0 0.0 0 0 ? S 09:25 0:00 _ [migration/3]
root 19 0.0 0.0 0 0 ? S 09:25 0:00 _ [ksoftirqd/3]
root 20 0.0 0.0 0 0 ? S 09:25 0:00 _ [watchdog/3]
root 21 0.0 0.0 0 0 ? S 09:25 0:00 _ [migration/4]
root 22 0.0 0.0 0 0 ? S 09:25 0:00 _ [kworker/4:0]
root 23 0.0 0.0 0 0 ? S 09:25 0:00 _ [ksoftirqd/4]
root 24 0.0 0.0 0 0 ? S 09:25 0:00 _ [watchdog/4]
root 25 0.0 0.0 0 0 ? S 09:25 0:00 _ [migration/5]
root 26 0.0 0.0 0 0 ? S 09:25 0:00 _ [kworker/5:0]
root 27 0.0 0.0 0 0 ? S 09:25 0:00 _ [ksoftirqd/5]
root 28 0.0 0.0 0 0 ? S 09:25 0:00 _ [watchdog/5]
root 29 0.0 0.0 0 0 ? S 09:25 0:00 _ [migration/6]
root 31 0.0 0.0 0 0 ? S 09:25 0:00 _ [ksoftirqd/6]
root 32 0.0 0.0 0 0 ? S 09:25 0:00 _ [watchdog/6]
root 33 0.0 0.0 0 0 ? S 09:25 0:00 _ [migration/7]
root 35 0.0 0.0 0 0 ? S 09:25 0:00 _ [ksoftirqd/7]
root 36 0.0 0.0 0 0 ? S 09:25 0:00 _ [watchdog/7]
root 37 0.0 0.0 0 0 ? S< 09:25 0:00 _ [cpuset]
root 38 0.0 0.0 0 0 ? S< 09:25 0:00 _ [khelper]
root 39 0.0 0.0 0 0 ? S 09:25 0:00 _ [kdevtmpfs]
root 40 0.0 0.0 0 0 ? S< 09:25 0:00 _ [netns]
root 41 0.0 0.0 0 0 ? S 09:25 0:00 _ [sync_supers]
root 42 0.0 0.0 0 0 ? S 09:25 0:00 _ [bdi-default]
root 43 0.0 0.0 0 0 ? S< 09:25 0:00 _ [kintegrityd]
root 44 0.0 0.0 0 0 ? S< 09:25 0:00 _ [kblockd]
root 45 0.0 0.0 0 0 ? S 09:25 0:00 _ [kworker/7:1]
root 46 0.0 0.0 0 0 ? S 09:25 0:00 _ [kworker/6:1]
root 47 0.0 0.0 0 0 ? S 09:25 0:00 _ [kworker/5:1]
root 48 0.0 0.0 0 0 ? S 09:25 0:00 _ [kworker/4:1]
root 49 0.0 0.0 0 0 ? S 09:25 0:00 _ [kworker/3:1]
root 50 0.0 0.0 0 0 ? S 09:25 0:00 _ [khungtaskd]
root 52 0.1 0.0 0 0 ? S 09:25 0:11 _ [kswapd0]
root 53 0.0 0.0 0 0 ? SN 09:25 0:00 _ [ksmd]
root 54 0.0 0.0 0 0 ? SN 09:25 0:00 _ [khugepaged]
root 52 0.1 0.0 0 0 ? S 09:25 0:11 _ [kswapd0]
root 53 0.0 0.0 0 0 ? SN 09:25 0:00 _ [ksmd]
root 54 0.0 0.0 0 0 ? SN 09:25 0:00 _ [khugepaged]
root 55 0.0 0.0 0 0 ? S 09:25 0:00 _ [kworker/2:1]
root 56 0.0 0.0 0 0 ? S 09:25 0:00 _ [fsnotify_mark]
root 57 0.0 0.0 0 0 ? S< 09:25 0:00 _ [crypto]
root 178 0.0 0.0 0 0 ? S 09:25 0:00 _ [khubd]
root 195 0.0 0.0 0 0 ? S< 09:25 0:00 _ [ata_sff]
root 199 0.0 0.0 0 0 ? S 09:25 0:00 _ [scsi_eh_0]
root 200 0.0 0.0 0 0 ? S 09:25 0:00 _ [scsi_eh_1]
root 201 0.0 0.0 0 0 ? S 09:25 0:00 _ [scsi_eh_2]
root 202 0.0 0.0 0 0 ? S 09:25 0:00 _ [scsi_eh_3]
root 203 0.0 0.0 0 0 ? S 09:25 0:00 _ [scsi_eh_4]
root 204 0.0 0.0 0 0 ? S 09:25 0:00 _ [scsi_eh_5]
root 208 0.0 0.0 0 0 ? S 09:25 0:00 _ [kworker/u:4]
root 209 0.0 0.0 0 0 ? S 09:25 0:00 _ [kworker/u:5]
root 340 0.0 0.0 0 0 ? S< 09:25 0:00 _ [kdmflush]
root 342 0.0 0.0 0 0 ? S< 09:25 0:00 _ [kcryptd_io]
root 343 0.0 0.0 0 0 ? S< 09:25 0:00 _ [kcryptd]
root 351 0.0 0.0 0 0 ? S< 09:25 0:00 _ [kdmflush]
root 356 0.0 0.0 0 0 ? S< 09:25 0:00 _ [kdmflush]
root 361 0.0 0.0 0 0 ? S< 09:25 0:00 _ [kdmflush]
root 377 0.0 0.0 0 0 ? S 09:25 0:00 _ [kjournald]
root 596 0.0 0.0 0 0 ? S< 09:25 0:00 _ [kpsmoused]
root 612 0.0 0.0 0 0 ? S< 09:25 0:00 _ [cfg80211]
root 655 0.0 0.0 0 0 ? S< 09:25 0:00 _ [led_workqueue]
root 718 0.0 0.0 0 0 ? S< 09:25 0:00 _ [hd-audio0]
root 741 0.0 0.0 0 0 ? S 09:25 0:00 _ [kworker/6:2]
root 958 0.0 0.0 0 0 ? S 09:25 0:00 _ [kjournald]
root 959 0.0 0.0 0 0 ? S 09:25 0:00 _ [kjournald]
root 1739 0.0 0.0 0 0 ? S 09:25 0:00 _ [flush-254:3]
root 2058 0.0 0.0 0 0 ? S 09:31 0:00 _ [scsi_eh_6]
root 2059 1.0 0.0 0 0 ? S 09:31 1:15 _ [usb-storage]
root 2079 0.0 0.0 0 0 ? S 09:31 0:00 _ [kworker/7:2]
root 2092 0.0 0.0 0 0 ? S 09:31 0:00 _ [kjournald]
root 2583 0.0 0.0 0 0 ? S 09:33 0:00 _ [kworker/3:0]
root 27430 0.0 0.0 0 0 ? S 09:55 0:00 _ [flush-8:16]
root 28565 0.0 0.0 0 0 ? S 10:15 0:00 _ [kworker/1:2]
root 28585 0.0 0.0 0 0 ? S 10:32 0:00 _ [kworker/2:0]
root 28657 0.0 0.0 0 0 ? S 11:03 0:00 _ [kworker/1:0]
root 28671 0.0 0.0 0 0 ? S 11:13 0:00 _ [kworker/0:0]
root 28681 0.0 0.0 0 0 ? S 11:18 0:00 _ [kworker/0:2]
root 28692 0.0 0.0 0 0 ? S 11:24 0:00 _ [kworker/0:1]
root 28694 0.0 0.0 0 0 ? S 11:25 0:00 _ [flush-254:1]
root 28723 0.0 0.0 0 0 ? S 11:27 0:00 _ [flush-8:0]
root 1 0.0 0.0 8404 796 ? Ss 09:25 0:01 init [2]
root 429 0.0 0.0 17188 1196 ? S<s 09:25 0:00 udevd --daemon
root 2062 0.0 0.0 17184 1132 ? S< 09:31 0:00 _ udevd --daemon
root 1051 0.0 0.0 6804 964 ? Ss 09:25 0:00 dhclient -v -pf /var/run/dhclient.eth0.pid -lf /var/lib/dhcp/dhclient.eth0.leases eth0
root 1202 0.0 0.0 54740 1944 ? Sl 09:25 0:00 /usr/sbin/rsyslogd -c4
root 1433 0.0 0.0 22448 836 ? Ss 09:25 0:00 /usr/sbin/cron
101 1566 0.0 0.0 23548 1160 ? Ss 09:25 0:00 /usr/bin/dbus-daemon --system
root 1647 0.0 0.0 75584 2660 ? Ss 09:25 0:00 /usr/sbin/cupsd -C /etc/cups/cupsd.conf
clamav 1648 0.0 0.0 38588 1840 ? Ss 09:25 0:04 /usr/bin/freshclam -d --quiet
root 1660 0.0 0.0 3968 636 ? Ss 09:25 0:00 /usr/sbin/acpid
102 1674 0.0 0.0 44992 3544 ? Ssl 09:25 0:00 /usr/sbin/hald
root 1675 0.0 0.0 22224 1384 ? S 09:25 0:00 _ hald-runner
root 1710 0.0 0.0 24340 1132 ? S 09:25 0:00 _ hald-addon-input: Listening on /dev/input/event0 /dev/input/event9 /dev/input/event3 /dev/input/event
root 1712 0.0 0.0 24332 1156 ? S 09:25 0:00 _ /usr/lib/hal/hald-addon-generic-backlight
root 1713 0.0 0.0 24332 1156 ? S 09:25 0:00 _ /usr/lib/hal/hald-addon-generic-backlight
root 1714 0.0 0.0 24332 1156 ? S 09:25 0:00 _ /usr/lib/hal/hald-addon-generic-backlight
root 1718 0.0 0.0 24332 1144 ? S 09:25 0:00 _ /usr/lib/hal/hald-addon-rfkill-killswitch
root 1733 0.0 0.0 24336 1156 ? S 09:25 0:00 _ hald-addon-storage: polling /dev/sr0 (every 2 sec)
102 1736 0.0 0.0 26156 1224 ? S 09:25 0:00 _ hald-addon-acpi: listening on acpid socket /var/run/acpid.socket
103 1703 0.0 0.0 44144 1064 ? Ss 09:25 0:00 /usr/sbin/exim4 -bd -q30m
root 1758 0.0 0.0 91820 3240 tty1 SLs 09:25 0:00 /bin/login –
guiguitarux 1838 0.0 0.0 19348 1948 tty1 S 09:25 0:00 _ -bash
guiguitarux 1843 0.0 0.0 4004 608 tty1 S+ 09:25 0:00 _ /bin/sh /usr/bin/startx
guiguitarux 1860 0.0 0.0 15568 844 tty1 S+ 09:25 0:00 _ xinit /etc/X11/xinit/xinitrc – /etc/X11/xinit/xserverrc :0 -auth /tmp/serverauth.GzmilK5NUX
root 1861 3.6 0.3 134340 26732 tty7 Ss+ 09:25 4:22 _ /usr/bin/X -nolisten tcp :0 -auth /tmp/serverauth.GzmilK5NUX
guiguitarux 1869 0.0 0.0 24268 888 tty1 S 09:25 0:00 _ /usr/bin/ck-launch-session /usr/bin/dbus-launch --exit-with-session x-session-manager
guiguitarux 1897 0.0 0.0 11928 308 ? Ss 09:25 0:00 _ /usr/bin/ssh-agent /usr/bin/ck-launch-session /usr/bin/dbus-launch --exit-with-session x-
guiguitarux 1906 0.0 0.0 173360 7880 tty1 Sl 09:25 0:00 _ x-session-manager
guiguitarux 1918 0.0 0.1 172584 10056 tty1 S 09:25 0:00 _ xfwm4 --display :0.0 --sm-client-id 23cff06a1-aa18-40f9-8a25-d47242103ed5
guiguitarux 1920 0.0 0.1 337536 15032 tty1 S 09:25 0:00 _ Thunar --sm-client-id 257c95b36-0e8b-4573-b1ef-b108eae70438 --daemon
guiguitarux 1924 0.0 0.1 267780 11920 tty1 Sl 09:25 0:01 _ xfce4-panel --sm-client-id 2502f9f47-e4f9-4c46-b60b-f40489994532
guiguitarux 1929 0.0 0.1 255232 10376 tty1 Sl 09:25 0:00 | _ /usr/lib/xfce4/panel-plugins/xfce4-menu-plugin socket_id 20971545 name xfce4-menu
guiguitarux 28577 0.7 0.8 503868 65216 ? Ssl 10:19 0:32 | _ midori
guiguitarux 1925 0.0 0.1 365464 11640 tty1 S 09:25 0:00 _ xfdesktop --display :0.0 --sm-client-id 2db223a79-e8b9-4ccf-a986-e93d2efbb585
root 1759 0.0 0.0 5980 620 tty2 Ss+ 09:25 0:00 /sbin/getty 38400 tty2
root 1760 0.0 0.0 5980 616 tty3 Ss+ 09:25 0:00 /sbin/getty 38400 tty3
root 1761 0.0 0.0 5980 620 tty4 Ss+ 09:25 0:00 /sbin/getty 38400 tty4
root 1762 0.0 0.0 5980 620 tty5 Ss+ 09:25 0:00 /sbin/getty 38400 tty5
root 1763 0.0 0.0 5980 616 tty6 Ss+ 09:25 0:00 /sbin/getty 38400 tty6
root 1766 0.0 0.0 120484 3128 ? Sl 09:25 0:00 /usr/sbin/console-kit-daemon --no-daemon
guiguitarux 1909 0.0 0.0 26160 608 tty1 S 09:25 0:00 /usr/bin/dbus-launch --exit-with-session x-session-manager
guiguitarux 1910 0.0 0.0 23448 948 ? Ss 09:25 0:00 /usr/bin/dbus-daemon --fork --print-pid 5 --print-address 7 --session
guiguitarux 1912 0.0 0.0 32932 1880 ? S 09:25 0:00 /usr/lib/xfconf/xfconfd
guiguitarux 1919 0.0 0.0 138828 3448 tty1 S 09:25 0:00 xfsettingsd
guiguitarux 1922 0.0 0.0 17732 1228 ? S 09:25 0:00 /usr/lib/gamin/gam_server
guiguitarux 1926 0.0 0.0 174532 4828 tty1 S 09:25 0:00 xfce4-settings-helper --display :0.0 --sm-client-id 29d74df00-bbb9-4670-b091-f20e93c9c541
guiguitarux 1928 0.0 0.0 141420 6308 ? Ss 09:25 0:00 /usr/lib/policykit-1-gnome/polkit-gnome-authentication-agent-1
guiguitarux 1931 0.0 0.0 56852 2356 ? S 09:25 0:00 /usr/lib/gvfs/gvfsd
root 1933 0.0 0.0 57692 2748 ? S 09:25 0:00 /usr/lib/policykit-1/polkitd
guiguitarux 28627 1.3 0.8 494308 65872 tty1 Sl 10:52 0:28 /usr/lib/iceweasel/firefox-bin
guiguitarux 28636 0.0 0.0 43716 3080 ? S 10:52 0:00 /usr/lib/libgconf2-4/gconfd-2
guiguitarux 28714 0.2 0.1 61956 7992 tty1 S 11:27 0:00 xterm -class UXTerm -title uxterm -u8
guiguitarux 28720 0.0 0.0 19324 2040 pts/1 Ss 11:27 0:00 _ bash
root 28724 0.0 0.0 76880 3056 pts/1 SL 11:27 0:00 _ su
root 28734 0.0 0.0 19352 1932 pts/1 S 11:27 0:00 _ bash
root 28735 0.0 0.0 16500 1144 pts/1 R+ 11:27 0:00 _ ps faux
[/quote]

[quote=“guiguitarux”]A la base c’est pas rkhunter ni chkrootkit qui me laissent penser que le système est corrompu, ce sont les logs de mon détecteur d’intrusion (snort) d’une autre machine qui sert de routeur/pare-feu/filtrant.

Et faut pas s’énerver, y a aucun enjeu… Quand bien même s’il y en avait, ça ne m’empêcherait pas d’aller promener la chienne de ma femme, de faire un plongeont dans la piscine municipale etc…

J’ai eu une alerte, fiable ou pas, je ne ferme pas les yeux c’est tout [/quote]

Je ne m’énerve pas je faisais simplement remarqué que pas mal de faux positif de rkhunter ou autre anti-rootkit sont bien documenté sur le net et permette de gagner du temps dans la lecture de résultats.

Pour ce qui est des autres question, as-tu réussi à mettre un nom sur ce processus fantôme ( via le port ou autre ? ).

La commande ps faux t’aurai permis justement de pouvoir vérifier qui à lancer le processus et s’il est rattaché à un autre ou pas

Salut,

Balle au centre …

Recherche d’un processus caché …

[root@yunohost] / # acp cacheproc cacheproc: Installé : 1.1 Candidat : 1.1 Table de version : *** 1.1 0 500 http://boisson.homeip.net/debian/ squeeze/divers i386 Packages 100 /var/lib/dpkg/status 1.0-4 0 500 http://boisson.homeip.net/debian/ etch/divers i386 Packages [root@yunohost] / #

[root@yunohost] / # chercheprocess Recherche de processus cach�s F.Boisson Dec2003 ...| 0 processus cach�(s) trouv�(s) [root@yunohost] / #

Un exécutable.

/usr/local/bin/chercheprocess.sh

if [ -r /var/log/chercheprocess.log ] && grep -E '[1-9]([0-9]+)? processus' /var/log/chercheprocess.log >/dev/null; then echo "Un ou plusieurs processus caché(s) ont été détectés." | mail -s "Détection processus caché(s) : voir /var/log/chercheprocess.log" root fi

Crontab.

[code]…

Recherche automatisé des processus cachés

https://www.debian-fr.org/find-recevoir-1-mail-si-et-seulement-si-detection-positive-t39164.html?hilit=chercheprocess

*/05 * * * * date >> /var/log/chercheprocess.log && /usr/bin/chercheprocess >> /var/log/chercheprocess.log
…[/code]
… …

Je prends en passant