Re: chkrootkit e lkm

To: debian-italian@lists.debian.org
Subject: Re: chkrootkit e lkm
From: Mattia Dongili <dongili@supereva.it>
Date: Tue, 25 Nov 2003 09:54:11 +0100
Message-id: <[🔎] 20031125085411.GB917@inferi.kami.home>
Mail-followup-to: debian-italian@lists.debian.org
Reply-to: dongili@supereva.it
In-reply-to: <[🔎] 200311240857.44780.f.galli@comune.vaglia.firenze.it>
References: <[🔎] 200311240857.44780.f.galli@comune.vaglia.firenze.it>

On Mon, Nov 24, 2003 at 08:57:44AM +0100, Franz wrote:
> Ciao a tutta la lista,
> dopo aver lanciato un chkrootkit ho visto:
> 
> checking "lkm"... You have 4 process hidden for ps command
> Warning: possible LKM trojan installed
> 
> Ora mi chiedo:
> 1) come posso verificare se il "possible" sia "real" oppure, come ho letto di 
> sfuggita su dei post di kuht.it (non posso postare i riferimenti perché visti 
> sul pc di un amico), sia un falso allarme?

e' probabile che siano dei false positives, prova con chkrootkit -x lkm
C'e' un piccola guida creata per il recente defacement delle macchine
debian: http://www.wiggy.net/debian/developer-securing/

> 2) tenuto conto che la mia macchina sta in una rete dietro un router che fa il 
> natting, anche se fossi compromesso, in concreto cosa rischierei? 

se il cattivone ha posseduto anche il firewall puo' fare quello che
vuole :)

> 3) mi preparo a usare la sabbiatrice sull'hard disk?

nooooo, vedi punto 1

ciao
-- 
mattia
:wq!

Reply to:

Follow-Ups:
- Re: chkrootkit e lkm
  - From: Franz <f.galli@comune.vaglia.firenze.it>

References:
- chkrootkit e lkm
  - From: Franz <f.galli@comune.vaglia.firenze.it>

Prev by Date: C'è nessuno?
Next by Date: Che fine ha fatto la lista?
Previous by thread: chkrootkit e lkm
Next by thread: Re: chkrootkit e lkm
Index(es):
- Date
- Thread