[Résolu] Trojan type LKM

Support Debian
#1

Bonjours,

Mon proxy à été infecté par un trojan:

ROOTDIR is `/' Checking `amd'... not found ... Searching for Ambient's rootkit (ark) default files and dirs... nothing found [color=#BF0000]Searching for suspicious files and dirs, it may take a while... /lib/init/rw/.mdadm /lib/init/rw/.ramfs /lib/init/rw/.mdadm[/color] Searching for LPD Worm files and dirs... nothing found ... Searching for anomalies in shell history files... nothing found Checking `asp'... not infected Checking `bindshell'... not infected [color=#BF0000]Checking `lkm'... You have 3 process hidden for readdir command You have 4 process hidden for ps command chkproc: Warning: Possible LKM Trojan installed Checking `rexedcs'... not found Checking `sniffer'... eth0: PACKET [/color]SNIFFER(/usr/sbin/tcpdump[3004]) lo: not promisc and no packet sniffer sockets

SQUID est shooté systématiquement des processus actifs.
Clamav reste sans rien faire.

Quelqu’un peut m’aider SVP ?
et si possible trouver qui utilise se trojan pour mettre la pagaille ???

#2

Installe le paquet cacheproc
deb boisson.homeip.net/debian etch divers

et tapes

chercheprocess

tu devrais avoir les processus cachés qui s’affichent.

Sinon, pour vérifier l’intégrité de tes fichiers, tu peux faire

~$ cd /tmp /tmp$ cat /var/lib/dpkg/info/*.md5sums | sort -u > MD5-ORG /tmp$ cd / /$ cat /tmp/MD5-ORG | awk '{print "md5sum "$2}' | grep -v -E "^md5sum *$" > /tmp/gre /$ sh /tmp/gre > /tmp/MD5 /$ cd /tmp /tmp$ diff -urN MD5-ORG MD5

tu verras les fichiers compromis.

Il y a beaucoup de faux positifs pour chkrootkit.
Tu as un tcpdump sur ton proxy en route?

#3

Oui j’ai un TCPdump journalisé et rotté et c’est de ca faute tout ca ^^. Par contre je ne prend pas le contenu des paquet, c’est trops lourd pour une passerelle.
Ca bouffe tellement de place et, ma partition VAR est tellement petite qu’il prend tout l’espace restant disponible.(j’ai déplacé les logs dans un autre dossier.)

Bon sang! c’est de ma faute… c’est un concours de circonstance malheureux. Faux positif + plus de place sur VAR = alerte+plus de net.

  1. Squid était systématiquement shooté car il n’y a plus de place sur la partition VAR. et donc il s’arrêtait(LOG).
  2. Un faux positif de chrootkit (c’est la premiere et unique foi, alors ca ma fait paniquer.)
  3. En plus du fait que les services CHROOTE sont par defaut installé dans la partition VAR…tres mauvaise idée… (MYSQL etc…)

?(c’est normal que quand je creer un nouveau dossier dans home il me mette automatiquement un (drwxr-sr-x)Suid pour staff ???)

J’ai essayé la methode de comparaison par MD5…il me sort tellement de MD5 que j’en ai le tournis. c’est sans doute des fichiers éffacés ( à cause du parametre N de diff)
merci, je garde ca précieusement.