LKM rootkit или нет ?
Hi!
Вот тут на одной из машин кажется rootkit, хотелось-бы проконсультироватся...
просто проверка:
- --
% /usr/sbin/chkrootkit -x lkm
ROOTDIR is /'
###
### Output of: ./chkproc -v -v
###
PID 3: not in ps output
CWD 3: /root
EXE 3: /root
PID 4: not in ps output
CWD 4: /root
EXE 4: /root
PID 5: not in ps output
CWD 5: /root
EXE 5: /root
PID 6: not in ps output
CWD 6: /root
EXE 6: /root
You have 4 process hidden for ps command
% ps axu
USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND
root 1 6.2 0.2 2444 1388 ? S 23:56 0:09 init
root 2 0.0 0.0 0 0 ? SW 23:56 0:00 [keventd]
root 0 0.0 0.0 0 0 ? SWN 23:56 0:00 [ksoftirqd_CPU0]
root 0 0.0 0.0 0 0 ? SW 23:56 0:00 [kswapd]
root 0 0.0 0.0 0 0 ? SW 23:56 0:00 [bdflush]
root 0 0.0 0.0 0 0 ? SW 23:56 0:00 [kupdated]
root 7 0.0 0.0 0 0 ? SW 23:57 0:00 [kjournald]
root 10 0.0 0.0 0 0 ? SW 23:57 0:00 [kjournald]
root 11 0.0 0.0 0 0 ? SW 23:57 0:00 [kjournald]
root 12 0.0 0.0 0 0 ? SW 23:57 0:00 [kjournald]
root 13 0.0 0.0 0 0 ? SW 23:57 0:00 [kjournald]
root 123 0.0 0.1 2308 708 ? R 23:59 0:00 ps axuwwwf
% mount
/dev/hda7 on / type ext3 (rw)
proc on /proc type proc (rw)
% uname -a
Linux (none) 2.4.20 #1 Mon Jan 13 11:19:26 MSK 2003 i686 GNU/Linux
- --
Дает вот такие результаты, система загружена через
boot: linux init=/bin/sh
смонтирован / и /proc, и все
по lsmod ни чего не выводится
если это LKM, то как определить тип и как от него избавится ?
Понятно что хотеолось-бы полной переустановкой, но... можно-ли без этого
обойтись ?
Какие утилиты для этого есть (в интернете нашел kstat, но он не собирается)
Чего читать и куда смотреть ?
Да, разбирался с fcheck - не нашел ни каких фатальных вещей, если LKM
rootkit и появился то не так что-бы давно буквально несколько дней...
--
With Best, | http://www.excom.spb.su/~andrey
Andrey Chernomyrdin | mailto:andrey@excom.spb.su
Reply to: