ZK Rootkit
root@plop:~# grep zk /usr/sbin/chkrootkit
suspects="/usr/lib/pt07 /usr/bin/atm /tmp/.cheese /dev/ptyzx /dev/ptyzg
/usr/bin/sourcemask /dev/ida /dev/xdf* /usr/lib/libx?otps /sbin/init.zk"
etc/ld.so.hash sbin/init.zk"
if [ -f ${ROOTDIR}usr/bin/run -o -f ${ROOTDIR}etc/sysconfig/console/load.zk ]; then
SSHD2_INFECTED_LABEL="check_global_passwd|panasonic|satori|vejeta|\.ark|/hash\.zk"
root@plop:~# ls -al /usr/bin/run
-rwsr-xr-x 1 root root 12816 sep 11 2001 /usr/bin/run
root@plop:~# dpkg -S /usr/bin/run
run: /usr/bin/run
root@plop:~# debsums run
usr/bin/run OK
usr/bin/killrunning OK
usr/share/man/man1/run.1.gz OK
usr/share/doc/run/BUGS OK
usr/share/doc/run/NEWS OK
usr/share/doc/run/README OK
usr/share/doc/run/copyright OK
usr/share/doc/run/changelog.gz OK
usr/share/doc/run/changelog.Debian.gz OK
Donc pour le rootkit ZK, y a de très forte chance pour que ce soit un faux-positif. Du moins, je l'espère...
Note : Je précise que debsums a été vérifié
avant d'etre utilisé.
Mode PROMISCUOUS
Commencons par vérifier l'état des mes interfaces :
root@plop:~# ifconfig -a | grep PROM root@plop:~# tcpdump -i eth0 > /dev/null & root@plop:~# ifconfig -a | grep PROM root@plop:~# ip link show | grep PROM 2: eth0: < BROADCAST,MULTICAST,PROMISC,UP > mtu 1500 qdisc pfifo_fast qlen 1000
Hum ? ifconfig serait une version modifiée ?
root@plop:~# ls -al /sbin/ifconfig -rwxr-xr-- 1 root staff 55180 nov 24 2001 /sbin/ifconfig root@plop:~# dpkg -S sbin/ifconfig net-tools: /sbin/ifconfig root@plop:~# debsums net-tools bin/netstat OK sbin/ifconfig OK sbin/nameif OK
Rien... Rootkit au niveau du noyau ? Gasp.
Je relance chkrootkit, et il ne m'indique plus le problème
de mode PROMISCUOUS.
Je me reconnecte à Internet et l'avertissement revient.
Pour le problème d'ifconfig, c'est un
bug connu.
Je me dis donc que c'est un faux positif, ou c'est dû à ma connexion
PPPoE.
[1] - deb http://lackof.org/taggart/debian woody/chkrootkit main