Bonjour ,

J'utilise chkrootkit
chkrootkit version 0.44 sur une Debian Sarge.
J'ai un problème j'ai reçu dernièrement un mail de ce type:

/etc/cron.daily/chkrootkit:
You have 2 process hidden for readdir command
You have 2 process hidden for ps command
Warning: Possible LKM Trojan installed

Lorsque je vais sur la machine et que je relance à la main chkrootkit avec
les même paramètres contenus dans /etc/cron.daily/chkrootkit ou même avec un
chkrootkit -c.
Il me met Nothing found tout est ok...
Quelqu'un a déjà eu un soucis avec de fausses alertes?
Enfin je comprend pkoi il me mail cà , il devrait me sortir les mêmes
résultats en ligne de commande...

Cordialement
OXx

whoami
root

Oui

2006/6/20, Damien Ulrich <dams@domosys.org>:
>
> Le Mardi 20 Juin 2006 09:34, OXx a écrit:
> > Bonjour ,
> Salut,
> >
> > J'utilise chkrootkit
> > chkrootkit version 0.44 sur une Debian Sarge.
> > J'ai un problème j'ai reçu dernièrement un mail de ce type:
> >
> > /etc/cron.daily/chkrootkit:
> > You have 2 process hidden for readdir command
> > You have 2 process hidden for ps command
> > Warning: Possible LKM Trojan installed
> >
> > Lorsque je vais sur la machine et que je relance à la main chkrootkit
> avec
> > les même paramètres contenus dans /etc/cron.daily/chkrootkit ou même
> avec
> > un chkrootkit -c.
> > Il me met Nothing found tout est ok...
> Tu le lances en root ?
> > Quelqu'un a déjà eu un soucis avec de fausses alertes?
> > Enfin je comprend pkoi il me mail cà , il devrait me sortir les mêmes
> > résultats en ligne de commande...
> >
> > Cordialement
> > OXx
>
> --
> "Les hommes qui travaillent ne peuvent rêver. Et la sagesse nous vient des
> rêves."
> Smohalla, chef indien Sokulls
>
>

Le Mardi 20 Juin 2006 09:34, OXx a écrit:
> Bonjour ,
Salut,
>
> J'utilise chkrootkit
> chkrootkit version 0.44 sur une Debian Sarge.
> J'ai un problème j'ai reçu dernièrement un mail de ce type:
>
> /etc/cron.daily/chkrootkit:
> You have 2 process hidden for readdir command
> You have 2 process hidden for ps command
> Warning: Possible LKM Trojan installed
>
> Lorsque je vais sur la machine et que je relance à la main chkrootkit avec
> les même paramètres contenus dans /etc/cron.daily/chkrootkit ou même avec
> un chkrootkit -c.
> Il me met Nothing found tout est ok...
Tu le lances en root ?
> Quelqu'un a déjà eu un soucis avec de fausses alertes?
> Enfin je comprend pkoi il me mail cà , il devrait me sortir les mêmes
> résultats en ligne de commande...
>
> Cordialement
> OXx

--
"Les hommes qui travaillent ne peuvent rêver. Et la sagesse nous vient des
rêves."
Smohalla, chef indien Sokulls

whoami
root

Oui

2006/6/20, Damien Ulrich <dams@domosys.org>:
>
> Le Mardi 20 Juin 2006 09:34, OXx a écrit:
> > Bonjour ,
> Salut,
> >
> > J'utilise chkrootkit
> > chkrootkit version 0.44 sur une Debian Sarge.
> > J'ai un problème j'ai reçu dernièrement un mail de ce type:
> >
> > /etc/cron.daily/chkrootkit:
> > You have 2 process hidden for readdir command
> > You have 2 process hidden for ps command
> > Warning: Possible LKM Trojan installed
> >
> > Lorsque je vais sur la machine et que je relance à la main chkrootkit
> avec
> > les même paramètres contenus dans /etc/cron.daily/chkrootkit ou même
> avec
> > un chkrootkit -c.
> > Il me met Nothing found tout est ok...
> Tu le lances en root ?
> > Quelqu'un a déjà eu un soucis avec de fausses alertes?
> > Enfin je comprend pkoi il me mail cà , il devrait me sortir les mêmes
> > résultats en ligne de commande...
> >
> > Cordialement
> > OXx
>
> --
> "Les hommes qui travaillent ne peuvent rêver. Et la sagesse nous vient des
> rêves."
> Smohalla, chef indien Sokulls
>
>

Le Mardi 20 Juin 2006 09:34, OXx a écrit:
> Bonjour ,
Salut,
>
> J'utilise chkrootkit
> chkrootkit version 0.44 sur une Debian Sarge.
> J'ai un problème j'ai reçu dernièrement un mail de ce type:
>
> /etc/cron.daily/chkrootkit:
> You have 2 process hidden for readdir command
> You have 2 process hidden for ps command
> Warning: Possible LKM Trojan installed
>
> Lorsque je vais sur la machine et que je relance à la main chkrootkit avec
> les même paramètres contenus dans /etc/cron.daily/chkrootkit ou même avec
> un chkrootkit -c.
> Il me met Nothing found tout est ok...
Tu le lances en root ?
> Quelqu'un a déjà eu un soucis avec de fausses alertes?
> Enfin je comprend pkoi il me mail cà , il devrait me sortir les mêmes
> résultats en ligne de commande...
>
> Cordialement
> OXx

--
"Les hommes qui travaillent ne peuvent rêver. Et la sagesse nous vient des
rêves."
Smohalla, chef indien Sokulls

On Tuesday 20 June 2006 04:34, OXx wrote:
> J'utilise chkrootkit
> chkrootkit version 0.44 sur une Debian Sarge.
> J'ai un problème j'ai reçu dernièrement un mail de ce type:
>
> /etc/cron.daily/chkrootkit:
> You have 2 process hidden for readdir command
> You have 2 process hidden for ps command
> Warning: Possible LKM Trojan installed
>
> Lorsque je vais sur la machine et que je relance à la main chkrootkit avec
> les même paramètres contenus dans /etc/cron.daily/chkrootkit ou même avec
> un chkrootkit -c.
> Il me met Nothing found tout est ok...
> Quelqu'un a déjà eu un soucis avec de fausses alertes?

Ce type de fausse alerte peut arriver. Je ne me souviens plus des détails
techniques, mais en gros chkrootkit compare la sortie de ps avec le contenu
d'un répertoire recensant les processus en cours (/proc/ps?), histoire de
voir si ps occulte certains résultats.

Il suffit que un ou 2 processus soient crées/supprimés entre l'exécution du ps
et le listing du répertoire. Ça arrive une fois de temps en temps.

Si en re-exécutant chkrootkit en console, ça n'apparaît plus, c'est que a
priori c'est OK.

> Enfin je comprend pkoi il me mail cà , il devrait me sortir les mêmes
> résultats en ligne de commande...

--
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~
Gurvan Huiban

"My mother used to make coffee this way...
Hot...
Strong...
And good." (from "Once upon in the West")

On Tuesday 20 June 2006 04:34, OXx wrote:
> J'utilise chkrootkit
> chkrootkit version 0.44 sur une Debian Sarge.
> J'ai un problème j'ai reçu dernièrement un mail de ce type:
>
> /etc/cron.daily/chkrootkit:
> You have 2 process hidden for readdir command
> You have 2 process hidden for ps command
> Warning: Possible LKM Trojan installed
>
> Lorsque je vais sur la machine et que je relance à la main chkrootkit avec
> les même paramètres contenus dans /etc/cron.daily/chkrootkit ou même avec
> un chkrootkit -c.
> Il me met Nothing found tout est ok...
> Quelqu'un a déjà eu un soucis avec de fausses alertes?

Ce type de fausse alerte peut arriver. Je ne me souviens plus des détails
techniques, mais en gros chkrootkit compare la sortie de ps avec le contenu
d'un répertoire recensant les processus en cours (/proc/ps?), histoire de
voir si ps occulte certains résultats.

Il suffit que un ou 2 processus soient crées/supprimés entre l'exécution du ps
et le listing du répertoire. Ça arrive une fois de temps en temps.

Si en re-exécutant chkrootkit en console, ça n'apparaît plus, c'est que a
priori c'est OK.

> Enfin je comprend pkoi il me mail cà , il devrait me sortir les mêmes
> résultats en ligne de commande...

--
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~
Gurvan Huiban

"My mother used to make coffee this way...
Hot...
Strong...
And good." (from "Once upon in the West")

Ok j'ai passé d'autres outils que chkrootkit pour être sûr et en effet tout
me parait clean.
Merci Gurvan pour ta réponse !
OxX

Le 20/06/06, Gurvan Huiban <gugs.nospamplease@free.fr> a écrit :
>
> On Tuesday 20 June 2006 04:34, OXx wrote:
> > J'utilise chkrootkit
> > chkrootkit version 0.44 sur une Debian Sarge.
> > J'ai un problème j'ai reçu dernièrement un mail de ce type:
> >
> > /etc/cron.daily/chkrootkit:
> > You have 2 process hidden for readdir command
> > You have 2 process hidden for ps command
> > Warning: Possible LKM Trojan installed
> >
> > Lorsque je vais sur la machine et que je relance à la main chkrootkit
> avec
> > les même paramètres contenus dans /etc/cron.daily/chkrootkit ou même
> avec
> > un chkrootkit -c.
> > Il me met Nothing found tout est ok...
> > Quelqu'un a déjà eu un soucis avec de fausses alertes?
>
> Ce type de fausse alerte peut arriver. Je ne me souviens plus des détails
> techniques, mais en gros chkrootkit compare la sortie de ps avec le
> contenu
> d'un répertoire recensant les processus en cours (/proc/ps?), histoire de
> voir si ps occulte certains résultats.
>
> Il suffit que un ou 2 processus soient crées/supprimés entre l'exécution
> du ps
> et le listing du répertoire. Ça arrive une fois de temps en temps.
>
> Si en re-exécutant chkrootkit en console, ça n'apparaît plus, c'estque a
> priori c'est OK.
>
> > Enfin je comprend pkoi il me mail cà , il devrait me sortir les mêmes
> > résultats en ligne de commande...
>
> --
> ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~
> Gurvan Huiban
>
> "My mother used to make coffee this way...
> Hot...
> Strong...
> And good." (from "Once upon in the West")
>
>

Ok j'ai passé d'autres outils que chkrootkit pour être sûr et en effet tout
me parait clean.
Merci Gurvan pour ta réponse !
OxX

Le 20/06/06, Gurvan Huiban <gugs.nospamplease@free.fr> a écrit :
>
> On Tuesday 20 June 2006 04:34, OXx wrote:
> > J'utilise chkrootkit
> > chkrootkit version 0.44 sur une Debian Sarge.
> > J'ai un problème j'ai reçu dernièrement un mail de ce type:
> >
> > /etc/cron.daily/chkrootkit:
> > You have 2 process hidden for readdir command
> > You have 2 process hidden for ps command
> > Warning: Possible LKM Trojan installed
> >
> > Lorsque je vais sur la machine et que je relance à la main chkrootkit
> avec
> > les même paramètres contenus dans /etc/cron.daily/chkrootkit ou même
> avec
> > un chkrootkit -c.
> > Il me met Nothing found tout est ok...
> > Quelqu'un a déjà eu un soucis avec de fausses alertes?
>
> Ce type de fausse alerte peut arriver. Je ne me souviens plus des détails
> techniques, mais en gros chkrootkit compare la sortie de ps avec le
> contenu
> d'un répertoire recensant les processus en cours (/proc/ps?), histoire de
> voir si ps occulte certains résultats.
>
> Il suffit que un ou 2 processus soient crées/supprimés entre l'exécution
> du ps
> et le listing du répertoire. Ça arrive une fois de temps en temps.
>
> Si en re-exécutant chkrootkit en console, ça n'apparaît plus, c'estque a
> priori c'est OK.
>
> > Enfin je comprend pkoi il me mail cà , il devrait me sortir les mêmes
> > résultats en ligne de commande...
>
> --
> ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~
> Gurvan Huiban
>
> "My mother used to make coffee this way...
> Hot...
> Strong...
> And good." (from "Once upon in the West")
>
>

Salut


Mon mot de passe Root n'est pas reconnu pour lancer synaptic ou le
gestionnaire de mise à jour à partir du menu de KDE.

J'obtiens l'avertissement: Mot de passe incorrect. Veuillez réessayer.

Par contre il fonctionne dans un terminal ou à partir de "Exécuter une
commande" du menu de KDE.

--
Claude

Salut


Mon mot de passe Root n'est pas reconnu pour lancer synaptic ou le
gestionnaire de mise à jour à partir du menu de KDE.

J'obtiens l'avertissement: Mot de passe incorrect. Veuillez réessayer.

Par contre il fonctionne dans un terminal ou à partir de "Exécuter une
commande" du menu de KDE.

--
Claude

claude poupelier wrote:
> Salut
>
>
> Mon mot de passe Root n'est pas reconnu pour lancer synaptic ou le
> gestionnaire de mise à jour à partir du menu de KDE.
>
> J'obtiens l'avertissement: Mot de passe incorrect. Veuillez réessayer.
>
> Par contre il fonctionne dans un terminal ou à partir de "Exécuter une
> commande" du menu de KDE.
>
>
Dans la dernière semaine, il y a eu toute une discussion là-dessus dans
le mailing list en anglais. Alors si tu speak the language....


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

claude poupelier wrote:
> Salut
>
>
> Mon mot de passe Root n'est pas reconnu pour lancer synaptic ou le
> gestionnaire de mise à jour à partir du menu de KDE.
>
> J'obtiens l'avertissement: Mot de passe incorrect. Veuillez réessayer.
>
> Par contre il fonctionne dans un terminal ou à partir de "Exécuter une
> commande" du menu de KDE.
>
>
Dans la dernière semaine, il y a eu toute une discussion là-dessus dans
le mailing list en anglais. Alors si tu speak the language....


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Ah, sur laquelle ?
Guy

Thierry Chatelet wrote:
> claude poupelier wrote:
>> Salut
>>
>>
>> Mon mot de passe Root n'est pas reconnu pour lancer synaptic ou le
>> gestionnaire de mise à jour à partir du menu de KDE.
>> J'obtiens l'avertissement: Mot de passe incorrect. Veuillez réessayer.
>>
>> Par contre il fonctionne dans un terminal ou à partir de "Exécuter
>> une commande" du menu de KDE.
>>
> Dans la dernière semaine, il y a eu toute une discussion là-dessus
> dans le mailing list en anglais. Alors si tu speak the language....
>
>


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Ah, sur laquelle ?
Guy

Thierry Chatelet wrote:
> claude poupelier wrote:
>> Salut
>>
>>
>> Mon mot de passe Root n'est pas reconnu pour lancer synaptic ou le
>> gestionnaire de mise à jour à partir du menu de KDE.
>> J'obtiens l'avertissement: Mot de passe incorrect. Veuillez réessayer.
>>
>> Par contre il fonctionne dans un terminal ou à partir de "Exécuter
>> une commande" du menu de KDE.
>>
> Dans la dernière semaine, il y a eu toute une discussion là-dessus
> dans le mailing list en anglais. Alors si tu speak the language....
>
>


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Le Mercredi 18 Octobre 2006 19:22, claude poupelier a écrit:
> Salut
>
>
> Mon mot de passe Root n'est pas reconnu pour lancer synaptic ou le
> gestionnaire de mise à jour à partir du menu de KDE.
>
> J'obtiens l'avertissement: Mot de passe incorrect. Veuillez
> réessayer.
>
> Par contre il fonctionne dans un terminal ou à partir de "Exécuter
> une commande" du menu de KDE.

Bonjour,

Dans la console, tu peux momentanément utiliser xhost + et lancer ton
appli par un su -c ....
Puis xhost - quand tu as fini.

Bertrand

Le Mercredi 18 Octobre 2006 19:22, claude poupelier a écrit:
> Salut
>
>
> Mon mot de passe Root n'est pas reconnu pour lancer synaptic ou le
> gestionnaire de mise à jour à partir du menu de KDE.
>
> J'obtiens l'avertissement: Mot de passe incorrect. Veuillez
> réessayer.
>
> Par contre il fonctionne dans un terminal ou à partir de "Exécuter
> une commande" du menu de KDE.

Bonjour,

Dans la console, tu peux momentanément utiliser xhost + et lancer ton
appli par un su -c ....
Puis xhost - quand tu as fini.

Bertrand