Rootkit LKM

Dumdideldum · 15.09.2004, 13:23

chkrootkit meldet bei mir, abhängig der geöffneten Programme:

Code:

ROOTDIR is `/'
Checking `lkm'... You have    16 process hidden for readdir command
You have    16 process hidden for ps command
Warning: Possible LKM Trojan installed

Dies ist während laufendem X und mozilla. Beende ich X komplett, dann meldet chkrootkit keine versteckten Prozesse.

Ich hab von der Möglichkeit gehört, jede einzelne Prozess-ID mit denen im /proc Verzeichnis zu vergleichen, wobei mögliche Unterschiede dann die vermeintlich schädlichen Prozesse sein sollen.

rkhunter meldet hingegen keine Probleme.
Wie zuverlässig ist chkrootkit überhaupt, denn ein versteckter Prozess hat ja nicht unbedingt was mit Trojanern zu tun ?

Thx

Philipp · 15.09.2004, 13:37

chkrootkit meldet jede Auffälligkeit im System. Wenn diese Meldung erscheint, muss noch lange kein LKM Rootkit installiert sein. Es steht ja auch nur "Possible" davor.

Bei den alten Cobalt RaQ Server erscheint auch die LKM Meldung, da die Adminoberfläche einige versteckte Prozesse verwendet. Ich würde das ganze daher bei deiner jetzigen Konfiguration ignorieren.

15.09.2004, 13:23	#1
Dumdideldum Inventar Registriert seit: 01.08.2001 Alter: 47 Beiträge: 1.508	Rootkit LKM chkrootkit meldet bei mir, abhängig der geöffneten Programme: Code: ROOTDIR is `/' Checking `lkm'... You have 16 process hidden for readdir command You have 16 process hidden for ps command Warning: Possible LKM Trojan installed Dies ist während laufendem X und mozilla. Beende ich X komplett, dann meldet chkrootkit keine versteckten Prozesse. Ich hab von der Möglichkeit gehört, jede einzelne Prozess-ID mit denen im /proc Verzeichnis zu vergleichen, wobei mögliche Unterschiede dann die vermeintlich schädlichen Prozesse sein sollen. rkhunter meldet hingegen keine Probleme. Wie zuverlässig ist chkrootkit überhaupt, denn ein versteckter Prozess hat ja nicht unbedingt was mit Trojanern zu tun ? Thx ____________________________________ Linux is like a wigwam: No windows, no Gates, Apache inside.

15.09.2004, 13:37	#2
Philipp verXENt Registriert seit: 01.08.1999 Beiträge: 7.084 Mein Computer	Re: Rootkit LKM chkrootkit meldet jede Auffälligkeit im System. Wenn diese Meldung erscheint, muss noch lange kein LKM Rootkit installiert sein. Es steht ja auch nur "Possible" davor. Bei den alten Cobalt RaQ Server erscheint auch die LKM Meldung, da die Adminoberfläche einige versteckte Prozesse verwendet. Ich würde das ganze daher bei deiner jetzigen Konfiguration ignorieren.

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)