Re: Infection supposee LKM Trojan: besoin d'aide.
Bonjour,
On Sun, Nov 02, 2003 at 07:53:43PM +0100, Jean-Claude AYGALENQ wrote:
>
> Bonjour et merci de vos reponses si promptes,
>
> > De même, 4 processus non listés dans ps. Par contre, j'ai aussi 4
> > processus avec un PID de 0 dans ps aux :
> >
> > root 3 0.0 0.0 0 0 ? SW Nov01 0:00 [kapmd]
> > root 0 0.0 0.0 0 0 ? SWN Nov01 0:00 [ksoftirqd_CPU0]
> > root 0 0.0 0.0 0 0 ? SW Nov01 0:10 [kswapd]
> > root 0 0.0 0.0 0 0 ? SW Nov01 0:00 [bdflush]
> > root 0 0.0 0.0 0 0 ? SW Nov01 0:00 [kupdated]
> >
> > A mettre en rapport avec les processus 4, 5, 6 et 7 que chkrootkit se
> > plaint de ne pas voir...
> > Je suis à peu près sûr de ne pas être infecté, je fais attention à ce
> > qui tourne, en faisant un nmap j'ai rien de plus que d'habitude,
> > netstat et lsof ne me donnent rien d'anormal.
>
> OK ca marche: c'est pareil pour moi avec un ps aux.
> Tout ce que tu dis me semble tres coherent.
> Et je t'avoue que ca me rassure ;)
> Moi qui avait deja tout sauvegarde en vue d'une eventuelle re-install
> (ca m'a permis au moins de faire un peu de menage).
> De plus j'ai renouvele l'experience en lancant le compte de mon amie
> sous gnome et il s'avere que le proc qui bouffait des ressources n'etait
> rien d'autre que l'xscreen-saver. Ceci explique cela.
>
> Malgre tout, pourrait-on savoir pourquoi donc ces 4 process
> (ksoftirqd_CPU0, kswapd, bdflush, kupdated)
> ne se voient pas attribuer de pid.
> Sur ma debian/stable (ma passerelle) il n'y pas ce genre de problemes:
> ----------------------------------
> root 3 0.0 0.0 0 0 ? SWN 17:52 0:00 [ksoftirqd_CPU0]
> root 4 0.0 0.0 0 0 ? SW 17:52 0:00 [kswapd]
> root 5 0.0 0.0 0 0 ? SW 17:52 0:00 [bdflush]
> root 6 0.0 0.0 0 0 ? SW 17:52 0:00 [kupdated]
>
> Pourquoi donc ? Un bug dans la version instable ?
>
C'est pas des process user !
C'est des processes kernel : priorité absolue et hors de toute forme de
gestion de process.... ( pas de memoire, pas de CPU... un truc du kernel
space quoi ).
Pour ceux que je connais :
- kswapd : le démon qui gére le transfert de page de mémoire vive en
mémoire swap ( s'il est zombie ca veut dire que ta mémoire est mort,
je le sais parceque j'ai eut le pb ).
- bdflush/kupdated : ca sert a faire les buffers fichiers ( enfin je
suis pas sure, mais je crois ).
Le reste je sais pas.
Mais bon, tout ca pour dire : don't panic. C'est des trucs totalement
normaux.
A+
Sylvain LE GALL
Reply to: