Ciao a tutti, mi sono letto il mini howto a http://www.wiggy.net/debian/developer-securing/ ma non mi è chiaro ancora come riconoscere i falsi positivi. In sostanza io do un 'chkrootkit -x lkm' e mi compare una lista di ben 80 processi 'hidden for ps command', di cui xx è il pid più basso e yy quello più alto. A questo punto controllo con 'cat /proc/[xx-yy]/status |grep Name' il nome dei processi, ma in che modo dall'output di tale comando dovrei capire se il sistema è compromesso o meno? (nel mio caso specifico xx=4523 yy=32450 e 'cat /proc/[4523-32450]/status |grep Name' da come output: Name: ksoftirqd/0 Name: events/0 Name: khelper Name: kacpid ) Adeu
Attachment:
signature.asc
Description: This is a digitally signed message part