[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Rootkit

Dank fuer die Rueckmeldung

ChkRootKit-Output:
..
Checking `bindshell'... INFECTED (PORTS:  1524 31337)
Checking `lkm'... SIGINVISIBLE Adore found
Warning: Possible LKM Trojan installed
Checking `rexedcs'... not found
Checking `sniffer'... /proc/1/fd: Permission denied
eth0:vs39a: PACKET SNIFFER((null)[(null)])
Checking `w55808'... not infected
....

gibt es noch einen Tip zum Thema Packet-Sniffer ?

Gruesse / GW

At 02:12 13.02.2004 +0100, Nico Golde wrote:

* Gerhard Wendebourg <gw@web-hh.de> [2004-02-13 01:48]:
> Wir haben es anscheinend mit einem Adore LKM zu tun:
>
>  chkrootkit -x lkm
> ROOTDIR is `/'
> ###
> ### Output of: ./chkproc -v -v
> ###
> SIGINVISIBLE Adore found
>
> Wie ist damit umzugehen und wie kann ich bei Neuinstall die alte
> Systemkonfiguration erhalten ?

Adore ist an sich erstmal weniger gefährlich, es erlaubt aber auf jeden
Fall Prozesse zu verstecken.
Das Adore Rootkit versteckt zusätzlich seinen ordner und man kann zwar
in ihn wechseln, aber er ist nirgens sichtbar.
ich hab mal in den anhang ein c programm gepackt. damit kannst du dir
versteckte prozesse anzeigen lassen.

dann schießt du einfach den adore prozess ab und wenn es noch eine ava
prozess gibt, auch den, weil das der prozess ist, der prozesse
versteckt.
dann solltest du den adore ordner finden können und lösche ihn einfach.
Reply to: