[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: LKM rootkit или нет ?

On 2003.12.04 at 22:33:38 +0300, Andrey Chernomyrdin wrote:

> Hi!
> 
> Вот тут на одной из машин кажется rootkit, хотелось-бы проконсультироватся...
> просто проверка:
> You have     4 process hidden for ps command
> 

Как однако взлом дебиановских серверов всех напугал!
Я тут тоже себе chkrootkit поставил, и ядро сейчас собираю посредством
наложения 2.4.23-го патча с kernel.org на дебиановский
kernel-source-2.4.22. Не собралось однако. Если завтра
packages.debian.org не подымется, придется ручками по режектам лазить.
Или проще взять upstream sources и наложить на них ACPI-патч посвежее?


> root         0  0.0  0.0     0    0 ?        SWN  23:56   0:00 [ksoftirqd_CPU0]
> root         0  0.0  0.0     0    0 ?        SW   23:56   0:00 [kswapd]
> root         0  0.0  0.0     0    0 ?        SW   23:56   0:00 [bdflush]
> root         0  0.0  0.0     0    0 ?        SW   23:56   0:00 [kupdated]

Вот они родимые. Все четыре. Кернельные нити это. Это известная паранойя
chkrootkit-а, что он кернельные нити за трояна держит.
У меня их вообще семь. Поскольку ksoftirqd положен на каждый логический
процессор свой. А на двухпроцессорной машине с HyperThreading этих
процессоров соотвественно, четыре.

>
Reply to: