Re: результат проверки на руткиты
On Fri, 19 Feb 2016 09:25:54 +0200
Sohin Vyacheslav <in.soho@yandex.ua> wrote:
> День добрый,
>
> chkrootkit выдал такое:
> Checking `passwd'... INFECTED
> Checking `lkm'... You have 1 process hidden for readdir command
> You have 1 process hidden for ps command
> chkproc: Warning: Possible LKM Trojan installed
>
> проверил контрольные суммы /bin/ps и сумму в оригинальном deb-пакете
> procps -> совпадают, запускал
Чем проверял? debsums или стандартным md5sum? md5sum трояны обычно
подменяют, а перловые модули, которыми пользуется debsums - нет.
Вообще подобного рода проверки стоит делать, перезагрузившись с System
Rescue CD с помощью утилиты, содержавшеся на этом CD.
>
> # lsof /bin/ps
>
> # fuser /bin/ps
>
> а в ответ - тишина...
> получается ложная тревога?
>
> и по поводу файла passwd как удостовериться, что это тоже не ложная
> тревога? сравнить по количеству строк или есть какие-то инструменты
> для этого?
По-моему, здесь речь идет о файле /bin/passwd, а не /etc/passwd.
Reply to: