Forum Linux.débutant alerte chkrootkit

Posté par  .
Étiquettes : aucune
0
21
avr.
2006
Bonjour,

J'ai un petit souci, voire un gros...
J'ai fait un chkrootkit pour voir si jamais mon ordi était infecté.
Tout est not infected sauf une alerte :

Checking `sniffer'... lo: not promisc and no packet sniffer sockets
eth0: PACKET SNIFFER(/sbin/dhclient3[6618])


Question : est-ce grave? Comment m'en débarasser? J'ai fait un kill mais...
Est-ce possible que le firewall (guarddog) engendre un faux positif?

Merci pour tout aide...
  • # client DHCP ( cf. man dhclient3 )

    Posté par  (site web personnel) . Évalué à 3.

    c'est ton client DHCP qui permet à ta machine de trouver son adresse IP si un serveur DHCP répond.

    il faut absolument retirer ce logiciel maléfique qui fourni à un serveur tiers des informations cruciale sur ta machine et reconfigure ta machine selon des informations qui peuvent changer. Il fait changer ton adresse IP tout seul, change tes DNS tout seul, le serveur WINS tout seul.

    il peut meme changer ton reverse DNS sans te prevenir !!!!!

    ce spyware,vers, cheval de troie, virus et rootkit ne te demande jamais de confirmation ...

    De plus ce programme genere un traffic reseau regulier mais tres dicret pour mieux tromper ton ennemi.

    pour verifier qu'il y a un probleme, fait un ssh 127.231.32.12 ... c'est une des IP utilisé par la team de hacker qui est derriere ... cela doit te donner un résultat qui ressemble au contenu de ton ~/ ( ton homedirectory ).

    IL FAUT REINSTALLER TON SYSTEME EN URGENCE !!!!!



    PS & mentions légales :
    toute prise au premier degre de ce message est au risque et peril de celui qui detruit son systeme. tout résultat ressemblant à une panne de réseau et à la nécessité de reinstaller sa distrib, n'est qu'un manquement à la lecture du manuel et à cette notice.

    Le controle d'un rootkit ne se fait que depuis un liveCD pour plus de transparence, sinon c'est comme demandé à un Norton Antivirus de detecté un rootkit qui l'a désintallé et remplacé par un programme qui dit "aucun virus decouvert". La lecture du resultat d'un controle de rootkit ne peut se faire qu'à la lueur d'un soupçon de connaissance du fonctionnement d'un systeme Linux.
    • [^] # Re: client DHCP ( cf. man dhclient3 )

      Posté par  . Évalué à 1.

      Je sais ce qu'est dhcp... Je m'étonne juste que cela soit déclaré comme une alerte et voulais donc savoir si le processus peut, d'une façon ou d'une autre être infecté par quelque chose qui viendrait le modifier....
      J'ai posté ce message sous Linux débutant comme tu peux le voir et non sous Linux geek... Aussi excuse-moi de n'avoir pas passé la nuit dernière à lire 160 pages de man mais j'avais d'autres choses à faire...
      Rien ne t'empêchait de faire une réponse un peu plus éclairante et moins condescendante...
      • [^] # Re: client DHCP ( cf. man dhclient3 )

        Posté par  (site web personnel) . Évalué à 3.

        moi@home $ man dhclient3 | wc -l
        Remise en forme de dhclient3(8), attendez SVP...
        218
        moi@home $

        Deux cent dix huits lignes, ce n'est pas la mer à boire ... juste un verre d'eau :)

        Le controle sérieux d'un rootkit ne peut se faire que depuis un systeme tiers.
        un LiveCD est une solution pas trop mauvaise pour le faire.

        Maintenant, google reste une bonne aide ( et pour avoir lu les premiers liens, pleins d'informations s'y trouve ).

        pour info un client DHCP ouvre une socket UDP .
        Cette socket est en mode BroadCast ( ou SNIFFER ) car elle va tenter de capter toutes les informations pouvant la concerner.
        La raison de ce mode est qu'à priori un client DHCP ne peut pas connaitre son serveur DHCP et son adresse IP à l'avance, il doit donc envoyer un message à tout le monde, et n'importe qui peut lui répondre.
        • [^] # Re: client DHCP ( cf. man dhclient3 )

          Posté par  . Évalué à 1.

          Merci pour ces infos... Je tenterai donc de vérifier cela avec un live CD à l'avenir... Ce qui me titillait était que chkrootkit sortait une alerte pour quelque chose qui me semblait 100% normal, c'est pourquoi je me demandais si quelque chose avait pu se greffer sur ce processus...

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.