Re: chkrootkit findet "LKM Trojan" genau einmal
Am Freitag 30 Juli 2004 19:41 schrieb Stephan Windmüller:
> Hallo!
>
> Bei meinem letzten regelmässigen Test mit chkrootkit fiel diesem ein
> versteckter Prozess auf. Beim anschliessenden zweiten Durchlauf
> allerdings gab es keinerlei Fehlermeldungen.
>
> Ich habe das System sofort heruntergefahren und mit dem chkrootkit
> einer Knoppix-CD getestet - keine Beanstandungen. Ein nmap des wieder
> gestarteten Systems zeigt auch keine Besonderheiten.
>
> Nun bin ich mir allerdings unschlüssig, wie ich weiter vorgehen
> soll. Sollte ich das System neu aufsetzen oder kann es für dieses
> Verhalten einen anderen Grund geben?
>
> Der Kernel ist selbstgebaut und enthält den Openwall-Patch.
Hallo Stephan,
Welchen kernel verwendest Du ? Bei bestimmten kernel (>= 2.6 oder andere
kernel mit NPTL) ist das ein bekannter false-positiv.
Manfred Sindhoff wrote 22 May 2004 in
debian-user-german:
"The lkm check is known to produce false positives for NPTL kernels
(2.6 kernels or 2.4 with NPTL patches). Common multithreaded programs
which will show this behaviour are slapd, mozilla and apache2 if you
use one of its threading MPMs."
(http://www.wiggy.net/debian/developer-securing/)
> Danke für jede Hilfe
> Stephan
Reply to: