SDB:Le programme chkrootkit signale des programmes « infectés »

Aller à : navigation, rechercher


Version: 9.1 -

Symptôme

Sur un système SUSE Linux 9.1 récemment installé, le programme chkrootkit signale de manière erronée des programmes « infectés », notamment ps et top.

Cause

Depuis les versions de noyau 2.6.x, les processus à plusieurs fils d'exécution ne sont plus affichés qu'avec un seul PID (« identificateur de processus »). C'est un changement par rapport à la série de noyaux 2.4.x, dans laquelle chaque fil d'exécution a son propre PID. Le programme checkroot exécute un ls sur /proc, le compare à la sortie de ps et top, mais ne prend ensuite pas en considération le comportement modifié du noyau et signale un « intrus ».

Informations complémentaires

D'une part, ce mode de fonctionnement de chkrootkit n'affiche pas les données réelles. pour la raison mentionnée plus haut.
D'autre part, ps exécute également un « getdents » (« get directory entries » obtenir les éléments d'un répertoire) sur /proc, ce qui revient pratiquement à un ls ou à ce que l'on obtient dans l'interpréteur avec la commande « echo * ».
Vous trouverez d'autres informations dans la page de manuel consacrée à getdents.

Un tel test ne peut attirer l'attention sur une porte dérobée du noyau, puisque cette porte dérobée ferait disparaître l'élément dans /proc, ce qui implique que ps n'afficherait pas non plus d'informations.

Remarque :

Vous pouvez, à titre d'alternative, utiliser rkhunter : cette commande ne présente pas les inconvénients décrits ci-dessus.

Liens :

ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz

http://www.rootkit.nl/projects/rootkit_hunter.html <keyword>chkrootkit,ps,top,proc,kernel,processus,infectés,trojaner</keyword>