[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [gulliver] Une bonne nouvelle

From	pouik <pouik at zeppoo dot net>
Subject	Re: [gulliver] Une bonne nouvelle
Date	Fri, 17 Mar 2006 09:35:44 +0100

Gilles LAMIRAL a écrit :

Bonjour,

Je viens de me faire pirater une machine serveur / routeur installée chez mes parents (et accessible à leur adresse IP fixe).
La dernière fois que j'ai eu ce problème, sur une vielle distro esmith "spéciale sécure" (comme quoi...) j'ai utilisé un détecteur de rootkit et il a trouvé assez vite le rootkit.
$ apt-cache search rootkit
chkrootkit - Checks for signs of rootkits on the local system
Je crois que c'est lui que j'avais utilisé.

J'ai ecrit un outil pour la détection de rootkit(en particulier les processus caches, appels systèmes/interruptions détournés), il est ecrit en python mais une version C devrait suivre apres mes exams(donc debut mai). L'inconvenient pour l'instant est qu'il ne supporte que l'architecture i386 et linux 2.6, mais ce sera corrigé(du moins pour le support de 2.4, et pour sparc). La différence principale avec des outils comme chkrootkit est la récupération d'information dans la memoire noyau(via /dev/kmem ou /dev/mem).

Pour ceux que ca interesse : http://www.zeppoo.net

Anthony

Follow-Ups:
- Re: [gulliver] Une bonne nouvelle
  - From: lacaille charles philippe

References:
- Une bonne nouvelle
  - From: Frederic Lehobey
- Re: [gulliver] Une bonne nouvelle
  - From: Gilles LAMIRAL

Prev by Date: Re: [gulliver] Programmation OpenOffice [was : Serveur subversif]
Next by Date: Re: [gulliver] Une bonne nouvelle
Previous by thread: Re: [gulliver] Une bonne nouvelle
Next by thread: Re: [gulliver] Une bonne nouvelle
Index(es):
- Date
- Thread