Re: Infection supposee LKM Trojan: besoin d'aide.
Bonsoir
>
> OK ca marche: c'est pareil pour moi avec un ps aux.
> Tout ce que tu dis me semble tres coherent.
> Et je t'avoue que ca me rassure ;)
> Moi qui avait deja tout sauvegarde en vue d'une eventuelle re-install
> (ca m'a permis au moins de faire un peu de menage).
> De plus j'ai renouvele l'experience en lancant le compte de mon amie
> sous gnome et il s'avere que le proc qui bouffait des ressources n'etait
> rien d'autre que l'xscreen-saver. Ceci explique cela.
>
> Malgre tout, pourrait-on savoir pourquoi donc ces 4 process
> (ksoftirqd_CPU0, kswapd, bdflush, kupdated)
> ne se voient pas attribuer de pid.
> Sur ma debian/stable (ma passerelle) il n'y pas ce genre de problemes:
> ----------------------------------
> root 3 0.0 0.0 0 0 ? SWN 17:52 0:00 [ksoftirqd_CPU0]
> root 4 0.0 0.0 0 0 ? SW 17:52 0:00 [kswapd]
> root 5 0.0 0.0 0 0 ? SW 17:52 0:00 [bdflush]
> root 6 0.0 0.0 0 0 ? SW 17:52 0:00 [kupdated]
>
> Pourquoi donc ? Un bug dans la version instable ?
>
Moi je suis en testing avec le même problème à priori
Un chkrootkit -q donne :
You have 7 process hidden for ps command
Warning: Possible LKM Trojan installed
PROMISC mode detected in one of these interfaces: teql0 dummy0 eth0 eth1 ppp0
Un ps -aux
root 1 0.0 0.0 1484 492 ? S 07:21 0:05 init [2]
root 0 0.0 0.0 0 0 ? SW 07:21 0:00 [migration_CPU0]
root 0 0.0 0.0 0 0 ? SW 07:21 0:00 [migration_CPU1]
root 4 0.0 0.0 0 0 ? SW 07:21 0:00 [keventd]
root 0 0.0 0.0 0 0 ? SWN 07:21 0:00 [ksoftirqd_CPU0]
root 0 0.0 0.0 0 0 ? SWN 07:21 0:00 [ksoftirqd_CPU1]
root 0 0.0 0.0 0 0 ? SW 07:21 0:00 [kswapd]
root 0 0.0 0.0 0 0 ? SW 07:21 0:00 [bdflush]
root 0 0.0 0.0 0 0 ? SW 07:21 0:01 [kupdated]
root 10 0.0 0.0 0 0 ? SW 07:21 0:00 [kreiserfsd]
Si je fais une strace -f sur /usr/lib/chkrootkit/chkproc
je m'appercois qu'il essaye d'ouvrir /proc/[0..99999]
Et un dpkg -l procps
le dit que j'ai la version 3.1.14-1
Enfin tous ca pour savoir si il n'y a tjrs pas de correction pour ca ?
Reply to: