Re: chkrootkit meldung auf debian etch mit backports

To: debian-user-german@lists.debian.org
Subject: Re: chkrootkit meldung auf debian etch mit backports
From: Jens Schüßler <jgs@trash.net>
Date: Wed, 2 Jul 2008 11:22:59 +0200
Message-id: <[🔎] 20080702092259.GA7339@sge.kicks-ass.org>
In-reply-to: <[🔎] g4f8aa$dpj$1@ger.gmane.org>
References: <[🔎] g4f8aa$dpj$1@ger.gmane.org>

* Peter Jordan <usernetwork@gmx.info> wrote:
> Hallo,
> 
> heute hat mir chkrootkit auf einem meiner Systeme (debian etch mit
> backports (aide, logcheck, fail2ban, rsync, kernel (2.6.25-2-amd64) )
> folgendes mitgeteilt:
> 
> /etc/cron.daily/chkrootkit:
> The following suspicious files and directories were found:
> /lib/init/rw/.mdadm
> /lib/init/rw/.ramfs
> /lib/init/rw/.mdadm
> You have     2 process hidden for readdir command
> You have     2 process hidden for ps command
> chkproc: Warning: Possible LKM Trojan installed
> 
> 
> Ein erneuter Durchlauf eine Stunde später brachte wieder die gewohnte
> Meldung:

Eine der beliebtesten False-Positives, google mal nach ckrootkit und
lkm.

,----
|  /usr/share/doc/chkrootkit/README.FALSE-POSITIVES
| In general, any process starting at around same time as lkm test may
| trigger a warning. Just try while true;do chkrootkit lkm;sleep 1;done
| during normal system use. See also FAQ 6 on www.chkrootkit.org -- paolo
| 
`----

Gruß
Jens

Reply to:

References:
- chkrootkit meldung auf debian etch mit backports
  - From: Peter Jordan <usernetwork@gmx.info>

Prev by Date: Re: [OT?] Hohe "User"-Auslastung
Next by Date: Re: [OT?] Hohe "User"-Auslastung
Previous by thread: chkrootkit meldung auf debian etch mit backports
Next by thread: Re: chkrootkit meldung auf debian etch mit backports
Index(es):
- Date
- Thread