[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [gulliver] Une bonne nouvelle


From pouik <pouik at zeppoo dot net>
Subject Re: [gulliver] Une bonne nouvelle
Date Fri, 17 Mar 2006 09:35:44 +0100

Gilles LAMIRAL a écrit :
Bonjour,

Je viens de me faire pirater une machine serveur / routeur installée
chez mes parents (et accessible à leur adresse IP fixe).

La dernière fois que j'ai eu ce problème, sur une vielle distro esmith "spéciale sécure" (comme quoi...) j'ai
utilisé un détecteur de rootkit et il a trouvé assez vite le rootkit.


$ apt-cache search rootkit
chkrootkit - Checks for signs of rootkits on the local system

Je crois que c'est lui que j'avais utilisé.

J'ai ecrit un outil pour la détection de rootkit(en particulier les processus caches, appels systèmes/interruptions détournés), il est ecrit en python mais une version C devrait suivre apres mes exams(donc debut mai).
L'inconvenient pour l'instant est qu'il ne supporte que l'architecture i386 et linux 2.6, mais ce sera corrigé(du moins pour le support de 2.4, et pour sparc).
La différence principale avec des outils comme chkrootkit est la récupération d'information dans la memoire noyau(via /dev/kmem ou /dev/mem).


Pour ceux que ca interesse : http://www.zeppoo.net

Anthony