WCM Forum

WCM Forum (http://www.wcm.at/forum/index.php)
-   Linux, UNIX, Open Source (http://www.wcm.at/forum/forumdisplay.php?f=13)
-   -   Rootkit LKM (http://www.wcm.at/forum/showthread.php?t=144801)

Dumdideldum 15.09.2004 13:23
Rootkit LKM
 
chkrootkit meldet bei mir, abhängig der geöffneten Programme:

Code:
ROOTDIR is `/'
Checking `lkm'... You have    16 process hidden for readdir command
You have    16 process hidden for ps command
Warning: Possible LKM Trojan installed
Dies ist während laufendem X und mozilla. Beende ich X komplett, dann meldet chkrootkit keine versteckten Prozesse.

Ich hab von der Möglichkeit gehört, jede einzelne Prozess-ID mit denen im /proc Verzeichnis zu vergleichen, wobei mögliche Unterschiede dann die vermeintlich schädlichen Prozesse sein sollen.

rkhunter meldet hingegen keine Probleme.
Wie zuverlässig ist chkrootkit überhaupt, denn ein versteckter Prozess hat ja nicht unbedingt was mit Trojanern zu tun ?


Thx

Philipp 15.09.2004 13:37
Re: Rootkit LKM
 
chkrootkit meldet jede Auffälligkeit im System. Wenn diese Meldung erscheint, muss noch lange kein LKM Rootkit installiert sein. Es steht ja auch nur "Possible" davor.

Bei den alten Cobalt RaQ Server erscheint auch die LKM Meldung, da die Adminoberfläche einige versteckte Prozesse verwendet. Ich würde das ganze daher bei deiner jetzigen Konfiguration ignorieren.


Alle Zeitangaben in WEZ +2. Es ist jetzt 11:07 Uhr.

Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
© 2009 FSL Verlag