RootKit & culture générale

(Courriels de diversion: <bedonnant@deploie-pulser.com> <federait@identifiera-abuserait.com> <amputeront@retroaction-divulgua.com> <informions@dedaignais-decarreler.com> <gâtisme@raffermi-gerber.com> <froment@outrez-penales.com> <deboutonnes@compareraient-dobermans.com> <trouee@confrontee-assistantes.com> <repaye@luminosite-selecter.com> <alpines@telebenne-hebetant.com> )

To: linux-31@culte.org
Subject: RootKit & culture générale
From: Quzqo <quzqo@no-log.org>
Reply-to: quzqo_AT_no-log_POINT_org@CULTe.org
Date: Wed, 03 Dec 2003 20:48:40 +0100

'LO,

Suite aux machines compromises du projet Debian (voir
http://www.debian.org/news au besoin), histoire de faire comme les
"grands" j'ai passé un petit chkrootkit chez moi et je constate les
avertissements suivants :

> chkrootkit
...
[snip]
...
Checking `lkm'... You have     5 process hidden for ps command
...

Du coup,
> chkrootkit -x lkm
ROOTDIR is `/'
###
### Output of: ./chkproc -v -v
###
PID     3: not in ps output
CWD     3: /
EXE     3: /
PID     4: not in ps output
CWD     4: /
EXE     4: /
PID     5: not in ps output
CWD     5: /
EXE     5: /
PID     6: not in ps output
CWD     6: /
EXE     6: /
PID     7: not in ps output
CWD     7: /
EXE     7: /
You have     5 process hidden for ps command

Pour en avoir le coeur net,
 > lsof | more
COMMAND    PID   USER   FD   TYPE     DEVICE       SIZE      NODE NAME
...
[snip]
...
ksoftirqd    3   root  cwd    DIR        8,3       1024         2 /
ksoftirqd    3   root  rtd    DIR        8,3       1024         2 /
ksoftirqd    3   root    0u   CHR        5,1                12342 /dev/console
ksoftirqd    3   root    1u   CHR        5,1                12342 /dev/console
ksoftirqd    3   root    2u   CHR        5,1                12342 /dev/console
ksoftirqd    4   root  cwd    DIR        8,3       1024         2 /
ksoftirqd    4   root  rtd    DIR        8,3       1024         2 /
ksoftirqd    4   root    0u   CHR        5,1                12342 /dev/console
ksoftirqd    4   root    1u   CHR        5,1                12342 /dev/console
ksoftirqd    4   root    2u   CHR        5,1                12342 /dev/console
kswapd       5   root  cwd    DIR        8,3       1024         2 /
kswapd       5   root  rtd    DIR        8,3       1024         2 /
kswapd       5   root    0u   CHR        5,1                12342 /dev/console
kswapd       5   root    1u   CHR        5,1                12342 /dev/console
kswapd       5   root    2u   CHR        5,1                12342 /dev/console
bdflush      6   root  cwd    DIR        8,3       1024         2 /
bdflush      6   root  rtd    DIR        8,3       1024         2 /
bdflush      6   root    0u   CHR        5,1                12342 /dev/console
bdflush      6   root    1u   CHR        5,1                12342 /dev/console
bdflush      6   root    2u   CHR        5,1                12342 /dev/console
kupdated     7   root  cwd    DIR        8,3       1024         2 /
kupdated     7   root  rtd    DIR        8,3       1024         2 /
kupdated     7   root    0u   CHR        5,1                12342 /dev/console
kupdated     7   root    1u   CHR        5,1                12342 /dev/console
kupdated     7   root    2u   CHR        5,1                12342 /dev/console

Mais pas de connexion suspecte avec "netstat -taupn"

Quelqu'un saurait m'en dire un poil plus sur ces process cachés lancés
par init ?
> ps -edf | grep -E "ksoftirqd|kswapd|bdflush|kupdated"
root 0 1 0 19:30 ? 00:00:00 [ksoftirqd_CPU0]
root 0 1 0 19:30 ? 00:00:00 [ksoftirqd_CPU1]
root 0 1 1 19:30 ? 00:00:56 [kswapd]
root 0 1 0 19:30 ? 00:00:00 [bdflush]
root 0 1 0 19:30 ? 00:00:00 [kupdated]

Merci d'avance...

-- 
     question = ( to ) ? be : ! be ;
            W. Shakespeare


--------------------------------------------------------------------
Les listes de diffusion occultes: <URL:http://www.CULTe.org/listes/>

Follow-Ups:
- Re: RootKit & culture générale
  - From: Sylvain Joyeux <sylvain.joyeux@m4x.org>
- Re: RootKit & culture =?ISO-8859-15?Q?g=E9n=E9rale?=
  - From: Eric Gerbier <eric.gerbier@meteo.fr>