ChkRootkit
Salve a tutti,
oggi dopo tanto tempo mi sono ricordato di aver installato chkrootkit, e
quindi mi e' venuto in mente di rilanciarlo per assicurarmi
che tutto fosse a posto (l'ultima volta non c'erano stati problemi).
Fatto sta che questa volta non e' andata esattamente così:
[CUT...]
Checking `lkm'... You have 3 process hidden for readdir command
You have 3 process hidden for ps command
Warning: Possible LKM Trojan installed
Checking `rexedcs'... not found
Checking `sniffer'... lo: not promisc and no packet sniffer sockets
eth0: PACKET SNIFFER(/usr/sbin/pppoe[327], /usr/sbin/pppoe[327],
/usr/sbin/dhcpd[418])
ppp0: not promisc and no packet sniffer sockets
[CUT...]
ecco come si puo vedere mi dice della presenza di 4 processi nascosti (a
parte la presenza del PACKET SNIFFER che credo sia
normale visto che il pppoe ed il dhcpd vanno in promisc sull'interfaccia
eth0).
Appena ho visto la presenza dei processi nascosti sono corso su google a
cercare qualcosa, ed ho trovato che per vedere quali erano
si doveva usare chkproc -v -v, che nel mio caso da questo risultato
PID 9751: not in readdir output
PID 9751: not in ps output
CWD 9751: /var/cache/bind
EXE 9751: /usr/sbin/named
PID 9752: not in readdir output
PID 9752: not in ps output
CWD 9752: /var/cache/bind
EXE 9752: /usr/sbin/named
PID 9753: not in readdir output
PID 9753: not in ps output
CWD 9753: /var/cache/bind
EXE 9753: /usr/sbin/named
Ora leggendo qua e la su google, ho trovato qualcosa (sopratutto questo
link http://www.uwsg.iu.edu/hypermail/linux/kernel/0302.3/1384.html)
che mi ha fatto un po' tranquillizzare, pero non sono ancora certo che
le cose siano a posto. Qualcuno sa dirmi qualcosa di piu?
p.s. ho controllato pure se ps era a posto e che non fosse modificato
(anche se chkrootkit diceva di no), e dovrebbe essere a posto
Reply to: