Re: chkrootkit: false positive? LKM

[Gerhard Gaussling <ggrubbish@web.de>]

Am Samstag 22 Mai 2004 22:52 schrieb Manfred Sindhoff:
> Gerhard Gaussling wrote:
> > Hallo Liste,
> >
> > ich habe hier folgendes:
> >
> > chkrootkit:
> >
> > Checking `lkm'... You have     9 process hidden for readdir command
> > You have     9 process hidden for ps command
> > Warning: Possible LKM Trojan installed
>
> [...]
>
> > Muß ich mir Sorgen machen?
> > [...]
> [...] Denke aber (auf Holz klopfend), daß es
> sich um false positives handelt, da chkrootkit Programm-Threads nicht
> erkennt, die ab Kernel 2.6, bzw. 2.4 mit Patch, möglich sind.
>
> "The lkm check is known to produce false positives for NPTL kernels
> (2.6 kernels or 2.4 with NPTL patches). Common multithreaded programs
> which will show this behaviour are slapd, mozilla and apache2 if you
> use one of its threading MPMs."
> (http://www.wiggy.net/debian/developer-securing/)
>

Hallo Manfred,

Danke für Deine Antwort. Ich dachte mir schon so etwas. Es gibt ja wohl 
auch nichts wie etwa KSTAT [1] für kernel 2.6.x ?

Was mir jetzt noch zu denken gibt ist die Warnung von kavscanner [2] und 
einige Einträge von samhain [3]

Falls da jemand eine Idee hätte...

ciao

Gerhard


[1] http://www.s0ftpj.org/tools/kstat.tgz
[2] http://www.kaspersky.com/businessoptimal?chapter=4157740 
[2] ( http://la-samhna.de/library/rootkits/detect.html | 
http://la-samhna.de/samhain/index.html | 
http://la-samhna.de/products.html )