Re: chkrootkit meldung auf debian etch mit backports

To: debian-user-german@lists.debian.org
Subject: Re: chkrootkit meldung auf debian etch mit backports
From: Peter Wiersig <peter@friesenpeter.de>
Date: Wed, 2 Jul 2008 12:12:10 +0200
Message-id: <[🔎] 20080702101210.GA30218@london087.server4you.de>
Mail-followup-to: debian-user-german@lists.debian.org
In-reply-to: <[🔎] g4f8aa$dpj$1@ger.gmane.org>
References: <[🔎] g4f8aa$dpj$1@ger.gmane.org>

On Wed, Jul 02, 2008 at 08:47:38AM +0200, Peter Jordan wrote:
> 
> /etc/cron.daily/chkrootkit:
> The following suspicious files and directories were found:
> /lib/init/rw/.mdadm
> /lib/init/rw/.ramfs
> /lib/init/rw/.mdadm
> You have     2 process hidden for readdir command
> You have     2 process hidden for ps command
> chkproc: Warning: Possible LKM Trojan installed
> 
> Ein erneuter Durchlauf eine Stunde später brachte wieder die gewohnte
> Meldung:
> 
> Muss ich mein System neu aufsetzen?

Ich denke nicht. Der chkrootkit Aufruf erstellt zu Zeitpunkt A
eine Processliste und arbeitet die dann ab. Wenn zum Zeitpunkt der
Ueberpruefung der Prozess schon beendet ist, sieht man ihn mit ps
nicht mehr. Ich kann mir vorstellen das es mit readdir die gleiche
Problematik gibt.

s. /usr/share/doc/chkrootkit/

Peter

Reply to:

References:
- chkrootkit meldung auf debian etch mit backports
  - From: Peter Jordan <usernetwork@gmx.info>

Prev by Date: Re: Warum gibt es XMMS2?
Next by Date: mit apt nach tags suchen
Previous by thread: Re: chkrootkit meldung auf debian etch mit backports
Next by thread: Re: chkrootkit meldung auf debian etch mit backports
Index(es):
- Date
- Thread