L'intérêt d'un module kernel comme rootkit, c'est que tu a du code qui est le plus "bas" possible. Comme il est (relativement) simple de faire un module qui n'apparaît pas au lsmod (si je dis pas de conneries: effacer son module de la liste des modules sans libérer la mémoire associée, par exemple), et qu'un module à accès sans limitations à tout le kernelland, tu peux réellement faire quelquechose de chiant à débusquer.
Ca n'a, pour autant que je saches, rien à voir avec une faille de sécurité de modprobe, c'est juste (comme quelqu'un le dit très bien plus bas) un bon moyen de _rester_ sur la machine... l'intérêt d'un rootkit, quoi.
[^] # Re: ftp.gnu.org compromis
Posté par Larry Cow . En réponse à la dépêche ftp.gnu.org compromis. Évalué à 4.
Ca n'a, pour autant que je saches, rien à voir avec une faille de sécurité de modprobe, c'est juste (comme quelqu'un le dit très bien plus bas) un bon moyen de _rester_ sur la machine... l'intérêt d'un rootkit, quoi.