Re: LKM rootkit или нет ?

To: debian-russian@lists.debian.org
Subject: Re: LKM rootkit или нет ?
From: "Sergey V. Burchu" <sayd@joker.botik.ru>
Date: Fri, 5 Dec 2003 00:38:23 +0300
Message-id: <[🔎] 20031204213823.GA8483@joker.botik.ru>
Mail-followup-to: debian-russian@lists.debian.org
In-reply-to: <[🔎] 20031204202037.GA13888@45.free.net>
References: <[🔎] 20031204223338.A9928@excom.spb.su> <[🔎] 20031204202037.GA13888@45.free.net>

Thu, Dec 04, 2003 at 11:20:37PM +0300, you(Victor B. Wagner) wrote:
> Как однако взлом дебиановских серверов всех напугал!

Это точно :)

> > root         0  0.0  0.0     0    0 ?        SWN  23:56   0:00 [ksoftirqd_CPU0]
> > root         0  0.0  0.0     0    0 ?        SW   23:56   0:00 [kswapd]
> > root         0  0.0  0.0     0    0 ?        SW   23:56   0:00 [bdflush]
> > root         0  0.0  0.0     0    0 ?        SW   23:56   0:00 [kupdated]
> 
> Вот они родимые. Все четыре. Кернельные нити это. Это известная паранойя
> chkrootkit-а, что он кернельные нити за трояна держит.
> У меня их вообще семь. Поскольку ksoftirqd положен на каждый логический
> процессор свой. А на двухпроцессорной машине с HyperThreading этих
> процессоров соотвественно, четыре.

Вот это у меня есть на одной машине(2.4.20)
root         2  0.0  0.0     0    0 ?        SW   Dec04   0:00 [keventd]
root         3  0.0  0.0     0    0 ?        SWN  Dec04   0:00 [ksoftirqd_CPU0]
root         4  0.0  0.0     0    0 ?        SW   Dec04   0:00 [kswapd]
root         5  0.0  0.0     0    0 ?        SW   Dec04   0:00 [bdflush]
root         6  0.0  0.0     0    0 ?        SW   Dec04   0:00 [kupdated]
root         7  0.0  0.0     0    0 ?        SW   Dec04   0:00 [kinoded]

$ dpkg -s procps | grep -i version
Version: 1:2.0.7-10

Вот это на другой(2.4.22):
root         2  0.0  0.0     0    0 ?        SW   Dec04   0:00 [keventd]
root         0  0.0  0.0     0    0 ?        SWN  Dec04   0:00 [ksoftirqd_CPU0]
root         0  0.0  0.0     0    0 ?        SW   Dec04   0:02 [kswapd]
root         0  0.0  0.0     0    0 ?        SW   Dec04   0:00 [bdflush]
root         0  0.0  0.0     0    0 ?        SW   Dec04   0:00 [kupdated]
root         9  0.0  0.0     0    0 ?        SW   Dec04   0:00 [kjournald]

$ dpkg -s procps | grep -i version
Version: 1:3.1.14-1

Вот это на еще одной(2.4.23):
root         2  0.0  0.0     0    0 ?        SW   Dec03   0:00 [keventd]
root         0  0.0  0.0     0    0 ?        SWN  Dec03   0:00 [ksoftirqd_CPU0]
root         0  0.0  0.0     0    0 ?        SW   Dec03   0:03 [kswapd]
root         0  0.0  0.0     0    0 ?        SW   Dec03   0:00 [bdflush]
root         0  0.0  0.0     0    0 ?        SW   Dec03   0:00 [kupdated]
root         8  0.0  0.0     0    0 ?        SW   Dec03   0:00 [kjournald]

$ dpkg -s procps | grep -i version
Version: 1:3.1.14-1

Вот здесь еще(2.4.21):
root         2  0.0  0.0     0    0 ?        SW   Oct28   0:03 [keventd]
root         3  0.0  0.0     0    0 ?        SWN  Oct28   0:12 [ksoftirqd_CPU0]
root         4  0.0  0.0     0    0 ?        SWN  Oct28   0:12 [ksoftirqd_CPU1]
root         5  0.0  0.0     0    0 ?        SWN  Oct28   0:11 [ksoftirqd_CPU2]
root         6  0.0  0.0     0    0 ?        SWN  Oct28   0:11 [ksoftirqd_CPU3]
root         7  0.0  0.0     0    0 ?        SWN  Oct28   0:11 [ksoftirqd_CPU4]
root         8  0.0  0.0     0    0 ?        SWN  Oct28   0:11 [ksoftirqd_CPU5]
root         9  0.0  0.0     0    0 ?        SW   Oct28  32:04 [kswapd]
root        10  0.0  0.0     0    0 ?        SW   Oct28   0:03 [bdflush]
root        11  0.0  0.0     0    0 ?        SW   Oct28  28:07 [kupdated]

$ dpkg -s procps | grep -i version
Version: 1:2.0.7-8

После upgrade procps до версии 1:3.1.14-1 нули стали выдавать и на тех машинах
где было нормально.
-- 
	Burchu Sergey.

Reply to:

References:
- LKM rootkit или нет ?
  - From: Andrey Chernomyrdin <andrey@excom.spb.su>
- Re: LKM rootkit или нет ?
  - From: "Victor B. Wagner" <vitus@45.free.net>

Prev by Date: Re: russian fortunes file?
Next by Date: Re: LKM rootkit или нет ?
Previous by thread: Re: LKM rootkit или нет ?
Next by thread: Re: LKM rootkit или нет ?
Index(es):
- Date
- Thread