Question Chkrootkit

[dominiqd]

Bonjour à tous,

 

Suite à un scan ./chkrootkit ce matin je vois qu'il me signale : "Checking `lkm'... find: /proc/10385: Aucun fichier ou répertoire de ce type"

C'est la première fois que je vois ce message, d'habitude l'analyse donne : "chkproc - Not found"

 

En faisant un "./chkrootkit -x lkm" je ne retrouve pas le processus, je ne le retrouve pas non-plus dans la table des processus...

 

Quelqu'un sait-il à quoi se rapporte ce processus ou a déjà vu le même message...?

 

merci par avance,

 

d.

[Greywolf]

chkproc est l'exécutable qui permet de vérifier la présence ou non de trojans LKM.

manifestement avant une mise à jour, tu ne disposais pas de l'exécutable; maintenant oui, et il fait son taf

 

http://www.chkrootkit.org/faq/

[dominiqd]

Sorry je me suis mal exprimé, d'habitude le résultat du check est : "Checking `lkm'... chkproc: nothing detected"

D'où mon inquiétude...

 

J'ai refait plusieurs run de chkrootkit et rien, le résultat est invariablement : "Checking `lkm'... chkproc: nothing detected"

 

Mon raisonnement me dit que si chkrootkit a signalé un processus (une seule fois) identifié comme étant le 10385 mais que celui-ci est un "truc" inconnu puisque "aucun fichier ou répertoire de ce type"

qu'est-ce que ça peut signifier d'autre ? une erreur d'adressage mémoire, un bug temporaire, une saloperie...?

 

A moins que mon raisonnement soit inexact mais là je compte sur un expert en la matière.

 

d.

[Greywolf]

un faux-positif, cf la FAQ

How accurate is chkproc?

If you run chkproc on a server that runs lots of short time processes it could report some false positives. chkproc compares the ps output with the /proc contents. If processes are created/killed during this operation chkproc could point out these PIDs as suspicious

[KewlCat]

si chkrootkit a signalé un processus (une seule fois) identifié comme étant le 10385 mais que celui-ci est un "truc" inconnu puisque "aucun fichier ou répertoire de ce type"

qu'est-ce que ça peut signifier d'autre ? une erreur d'adressage mémoire, un bug temporaire, une saloperie...?

Ouh là...

Relis bien ce qui s'affiche sur ton écran :

find: /proc/10385: Aucun fichier ou répertoire de ce type

Ca, ça signifie que find a été lancé sur /proc qui est un "répertoire" qui bouge énormément, et qu'entre le moment où les sous-répertoires de /proc ont été "récoltés" et le moment où find a scanné, le processus dont le pid était "10385" avait fini de s'exécuter et le répertoire avait disparu (ce est parfaitement normal). Point.

En déduire que c'est un "processus inconnu", une "erreur mémoire", un "bug temporaire", une "saloperie" ou n'importe quoi qui soit autre chose que le fait que ce script ne tient pas compte du fait que /proc est "vivant", c'est de la paranoïa mal placée.

[dominiqd]

Merci à tous deux pour ces précisions.

Oui, je préfère être un peu trop attentif que pas assez.

 

En ce qui me concerne je fais tourner ces outils chaque jour depuis près de deux ans et c'est bien la 1ère fois que je vois ce message.

Et comme je venais d'installer "unhide" pour que Rkh fasse un boulot plus étendu je me suis dit qu'il y avait peut-être quelque chose de pas clean.

 

d.