[RESOLU]message chkrootkit

salut

j’ai une commande chkrootkit qui se lance en tache de cron une fois par jour et ce matin j’ai eu le message suivant :

You have   1 process hidden for readdir command
You have   1 process hidden for ps command
chkproc: Warning: possible LKM Trojan installed

étant donné que je n’ai jamais eu ce message cela m’inquiète un peu.

Pour info il s’agit d’un desktop sous etch (Xorg, icewm) avec un vsftpd et un ssh ouverts sur internet

ai-je raison de m’inquiéter sachant que je n’ai rien vu de flagrant dans les logs ?

Hum, effectivement, charge
http://boisson.homeip.net/chercheprocess puis fais

[code]# chmod +x chercheprocess

chercheprocess

[/code]
Tu auras les processus cachés et la ligne de commande.
Par ailleurs, donne le résultat de

netstat -tpul

merci pour ta réponse fran.b
j’ai fait les essais

avec chercheprocess (je me suis permis de cacher ton nom, on ne sait jamais la CIA…)

Recherche de processus cachés *.*** Dec2003
...\
0 processus caché(s) trouvé(s)

avec netstat -tpul

Proto Recv-Q Send-Q Adresse locale          Adresse distante        Etat        PID/Program name
tcp        0      0 *:sunrpc                *:*                     LISTEN     -
tcp        0      0 *:auth                  *:*                     LISTEN     -
tcp        0      0 *:ftp                   *:*                     LISTEN     -
tcp        0      0 *:ipp                   *:*                     LISTEN     -
tcp        0      0 localhost.localdoma:729 *:*                     LISTEN     -
tcp        0      0 localhost.localdom:smtp *:*                     LISTEN     -
tcp6       0      0 *:ssh                   *:*                     LISTEN     -
tcp6       0      0 *:ipp                   *:*                     LISTEN     -
udp        0      0 *:bootpc                *:*                                -
udp        0      0 *:sunrpc                *:*                                -
udp        0      0 *:ipp                   *:*                                -

les ports ipp, ssh, ftp sont ouverts par mes règles iptables
le reste je ne l’ai pas demandé
mais j’ai fait les tests via ssh depuis une machine distante et manifestement personne n’était devant le clavier à la maison

Bon, c’est plutôt rassurant, il y a juste ce port 729 qui est curieux. Fais le netstat en root pour avoir le nom des processus utilisant les connexions.
PS: J’enquiquine la CIA, tu peux mettre mon nom si tu veux, ça m’est égal :slightly_smiling:

pour le netstat en root

Proto Recv-Q Send-Q Adresse locale          Adresse distante        Etat        PID/Program name
tcp        0      0 *:sunrpc                *:*                     LISTEN     2146/portmap
tcp        0      0 *:auth                  *:*                     LISTEN     2616/inetd
tcp        0      0 *:ftp                   *:*                     LISTEN     2630/vsftpd
tcp        0      0 *:ipp                   *:*                     LISTEN     2522/cupsd
tcp        0      0 localhost.localdoma:729 *:*                     LISTEN     2673/famd
tcp        0      0 localhost.localdom:smtp *:*                     LISTEN     2589/exim4
tcp6       0      0 *:ssh                   *:*                     LISTEN     2626/sshd
tcp6       0      0 *:ipp                   *:*                     LISTEN     2522/cupsd
udp        0      0 *:bootpc                *:*                                2136/dhclient
udp        0      0 *:sunrpc                *:*                                2146/portmap
udp        0      0 *:ipp                   *:*                                2522/cupsd

c’est famd
étant donné que j’ai un client NFS sur cette machine (le serveur n’est pas démarré) je me demande si ce n’est pas lui qui utilise ce port pour voir si les fichiers de la machine distante ne sont pas modifiés.
mauvaise pioche :blush: ou bonne pioche 8) ?

C’est bon d’autant plus qu’il écoute sur loopback uniquement. Pour moi tout va bien sur ta machine. Qu’est ce que ça donne si tu relances chkrootkit à la main?

Des processus cachés peuvent apparaître si un un processus disparait entre le moment où est lu le répertoire /proc et celui où on lit la sortie de PS. C’est peut être ce qui s’est passé. Ta machine était peut être chargée à ce moment. Fais des tests réguliers. Tu devrais surveiller l’intégrité des fichiers (tu peux installer le paquet surveillance que j’ai fait et tester régulièrement, cf http://boisson.homeip.net/paquets.html)

bon je suis content que tout aille bien
d’autant que j’ai relancé chkrootkit à la main et qu’il n’a rien donné

en plus si tu me dis que ça peut arriver quand la machine est chargée, c’est encore mieux, car hier apres-midi et soir elle tournait fort. Elle swappait même, si si !

bon je vais quand même suivre tes conseils et utiliser les outils qui sont sur ta page ça ne me fera pas de mal
je testerai ça ce soir

merci pour ton aide et pour tous les outils que tu mets à disposition

Tu as les paquets ici

deb boisson.homeip.net/debian etch divers

(surveillance et cacheproc essentiellemnt, lis le README dans /usr/share/doc)

j’ai suivi tes instructions :

  • ajouté tes dépôts
  • installé surveillance et cacheproc
  • lu le README
  • lancé les 2
    Et pas de soucis à l’horizon

Pour m’amuser j’ai lancé une mise à jour après avoir fait la génération des md5 de surveille puis relancé surveille et il m’a trouvé les fichiers modifiés (il y avait des maj de perl aujourd’hui)
Puis tant que j’y étais j’ai regénéré les md5 pour qu’il ne me sorte pas d’erreurs.

Maintenant je vais changer ma crontable pour lancer surveille et cacheproc en auto.
Je crois que je vais même faire comme tu le conseilles : mettre tout ça sur un CD, j’ai un controleur SCSI et un graveur SCSI qui pourrissent dans un coin
De quoi geeker un peu :smiley:

Un grand merci pour ton aide, je suis rassuré, j’ai appris des choses et j’ai des nouveaux outils pour auditer mon système. :smt038

PS : j’ai même récupéré les sources pour me coucher moins bête ce soir

[quote=“antalgeek”]j’ai suivi tes instructions :

  • ajouté tes dépôts
  • installé surveillance et cacheproc
  • lu le README
  • lancé les 2
    Et pas de soucis à l’horizon

Pour m’amuser j’ai lancé une mise à jour après avoir fait la génération des md5 de surveille puis relancé surveille et il m’a trouvé les fichiers modifiés (il y avait des maj de perl aujourd’hui)
Puis tant que j’y étais j’ai regénéré les md5 pour qu’il ne me sorte pas d’erreurs.
[/quote]
Tu peux le régénérer par dpkg-reconfigure surveillance.
Si tu as vraiment peur, tu peux mettre le programme et les signatures sur CDR mais là je trouve ça excessif.

Tu pourras parfois voir un fichier qui se modifie spontanément, c’est très rare cependant et si tu analyse le fichier, tu t’aperçois d’une mise à zéro d’une rangée de bits dans une plage (tous les 6ièmes bits des octets 20?A dans la plage 2000-2FFF par exemple).
Par ailleurs, regarde est très sensible, il m’arrive assez fréquemment d’avoir des messages du type

[quote]…Processus caché :7817
Environnement:

cat: ./7817/environ: Aucun fichier ou répertoire de ce type

1 processus caché(s) trouvé(s)
[/quote]
c’est une fausse alerte, le processus 7817 était en train de s’interrompre. Lors de mes tests sur des rootkits, l’environnement est affiché ainsi la ligne de commande.

[quote]
PS : j’ai même récupéré les sources pour me coucher moins bête ce soir[/quote]
N’hésite pas à demander. Tout est compilé en statique via diet gcc afin de ne pas dépendre d’une librairie potentiellement corrompue.

C’est surtout pour l’expérience et parce que c’est possible :smiley:

Oui c’est ça qui m’intéresse. Tes outils sont dans l’esprit de ce que j’avais trouvé quand je me renseignais sur TCT. Je pense que les analyser me fera progresser en sécurité…cela fait partie d’un tout.
J’ouvrirai un fil dans la rubrique programmation si je suis largué.

Encore merci

Pour revenir à regarde qui est sensible, chkrootkit semble l’être aussi, il m’a sorti le même genre de comportement apparemment.