Re: Infection supposee LKM Trojan: besoin d'aide.

To: debian-user-french@lists.debian.org
Subject: Re: Infection supposee LKM Trojan: besoin d'aide.
From: "Sylvain LE GALL" <sylvain.le-gall@polytechnique.org>
Date: Sun, 2 Nov 2003 23:33:12 +0100
Message-id: <[🔎] 20031102223312.GB7612@grand>
Mail-followup-to: debian-user-french@lists.debian.org
In-reply-to: <[🔎] 20031102195343.540ab8c1.jc.aygalenq@free.fr>
References: <[🔎] 20031102165143.7c4e0e78.jc.aygalenq@free.fr> <[🔎] 1067792618.2473.9.camel@satori.kagou.dyndns.org> <[🔎] 87ism2g0an.fsf@wanadoo.fr> <[🔎] 20031102195343.540ab8c1.jc.aygalenq@free.fr>

Bonjour,

On Sun, Nov 02, 2003 at 07:53:43PM +0100, Jean-Claude AYGALENQ wrote:
> 
> 	Bonjour et merci de vos reponses si promptes,
> 
> > De même, 4 processus non listés dans ps. Par contre, j'ai aussi 4
> > processus avec un PID de 0 dans ps aux :
> > 
> > root      3  0.0  0.0     0   0 ?   SW   Nov01   0:00 [kapmd]
> > root      0  0.0  0.0     0   0 ?   SWN  Nov01   0:00 [ksoftirqd_CPU0]
> > root      0  0.0  0.0     0   0 ?   SW   Nov01   0:10 [kswapd]
> > root      0  0.0  0.0     0   0 ?   SW   Nov01   0:00 [bdflush]
> > root      0  0.0  0.0     0   0 ?   SW   Nov01   0:00 [kupdated]
> > 
> > A mettre en rapport avec les processus 4, 5, 6 et 7 que chkrootkit se
> > plaint de ne pas voir...
> > Je suis à peu près sûr de ne pas être infecté, je fais attention à ce
> > qui tourne, en faisant un nmap j'ai rien de plus que d'habitude,
> > netstat et lsof ne me donnent rien d'anormal.
> 
> OK ca marche: c'est pareil pour moi avec un ps aux.
> Tout ce que tu dis me semble tres coherent.
> Et je t'avoue que ca me rassure ;)
> Moi qui avait deja tout sauvegarde en vue d'une eventuelle re-install
> (ca m'a permis au moins de faire un peu de menage). 
> De plus j'ai renouvele l'experience en lancant le compte de mon amie
> sous gnome et il s'avere que le proc qui bouffait des ressources n'etait
> rien d'autre que l'xscreen-saver. Ceci explique cela.
> 
> Malgre tout, pourrait-on savoir pourquoi donc ces 4 process 
> (ksoftirqd_CPU0, kswapd, bdflush, kupdated)
> ne se voient pas attribuer de pid.
> Sur ma debian/stable (ma passerelle) il n'y pas ce genre de problemes:
> ----------------------------------
> root         3  0.0  0.0     0   0 ?  SWN  17:52   0:00 [ksoftirqd_CPU0]
> root         4  0.0  0.0     0   0 ?  SW   17:52   0:00 [kswapd]
> root         5  0.0  0.0     0   0 ?  SW   17:52   0:00 [bdflush]
> root         6  0.0  0.0     0   0 ?  SW   17:52   0:00 [kupdated]
> 
> Pourquoi donc ? Un bug dans la version instable ?
> 

C'est pas des process user !

C'est des processes kernel : priorité absolue et hors de toute forme de
gestion de process.... ( pas de memoire, pas de CPU... un truc du kernel
space quoi ).

Pour ceux que je connais : 
- kswapd : le démon qui gére le transfert de page de mémoire vive en
  mémoire swap ( s'il est zombie ca veut dire que ta mémoire est mort,
  je le sais parceque j'ai eut le pb ).
- bdflush/kupdated : ca sert a faire les buffers fichiers ( enfin je
  suis pas sure, mais je crois ).

Le reste je sais pas.

Mais bon, tout ca pour dire : don't panic. C'est des trucs totalement
normaux.

A+
Sylvain LE GALL

Reply to:

Follow-Ups:
- Re: Infection supposee LKM Trojan: besoin d'aide.
  - From: Ultimateclem <deb_ultimateclem.no-spam@yahoo.fr>

References:
- Infection supposee LKM Trojan: besoin d'aide.
  - From: Jean-Claude AYGALENQ <jc.aygalenq@free.fr>
- Re: Infection supposee LKM Trojan: besoin d'aide.
  - From: VETSEL Patrice <vetsel.patrice@wanadoo.fr>
- Re: Infection supposee LKM Trojan: besoin d'aide.
  - From: Lucas <bonnet.lucas@wanadoo.fr>
- Re: Infection supposee LKM Trojan: besoin d'aide.
  - From: Jean-Claude AYGALENQ <jc.aygalenq@free.fr>

Prev by Date: Re: Infection supposee LKM Trojan: besoin d'aide.
Next by Date: Re: énième problème d'heure
Previous by thread: Re: Infection supposee LKM Trojan: besoin d'aide.
Next by thread: Re: Infection supposee LKM Trojan: besoin d'aide.
Index(es):
- Date
- Thread