Re: результат проверки на руткиты

To: debian-russian@lists.debian.org
Subject: Re: результат проверки на руткиты
From: Victor Wagner <vitus@wagner.pp.ru>
Date: Fri, 19 Feb 2016 11:17:56 +0300
Message-id: <[🔎] 20160219111756.5926c939@fafnir.local.vm>
In-reply-to: <[🔎] 56C6C382.4000400@yandex.ua>
References: <[🔎] 56C6C382.4000400@yandex.ua>

On Fri, 19 Feb 2016 09:25:54 +0200
Sohin Vyacheslav <in.soho@yandex.ua> wrote:

> День добрый,
> 
> chkrootkit выдал такое:
> Checking `passwd'... INFECTED
> Checking `lkm'... You have     1 process hidden for readdir command
> You have     1 process hidden for ps command
> chkproc: Warning: Possible LKM Trojan installed
> 
> проверил контрольные суммы /bin/ps и сумму в оригинальном deb-пакете
> procps -> совпадают, запускал

Чем проверял? debsums или стандартным md5sum? md5sum трояны обычно
подменяют,  а перловые модули, которыми пользуется debsums - нет.

Вообще подобного рода проверки стоит делать, перезагрузившись с System
Rescue CD с помощью утилиты, содержавшеся на этом CD. 

> 
> # lsof /bin/ps
> 
> # fuser /bin/ps
> 
> а в ответ - тишина...
> получается ложная тревога?
> 
> и по поводу файла passwd как удостовериться, что это тоже не ложная
> тревога? сравнить по количеству строк или есть какие-то инструменты
> для этого?

По-моему, здесь речь идет о файле /bin/passwd, а не /etc/passwd.

Reply to:

Follow-Ups:
- Re: результат проверки на руткиты
  - From: Sohin Vyacheslav <in.soho@yandex.ua>

References:
- результат проверки на руткиты
  - From: Sohin Vyacheslav <in.soho@yandex.ua>

Prev by Date: результат проверки на руткиты
Next by Date: Re: результат проверки на руткиты
Previous by thread: результат проверки на руткиты
Next by thread: Re: результат проверки на руткиты
Index(es):
- Date
- Thread