Re: Un troyano?
Mirando informaciones por el google he leído que convenía localizar los
procesos ocultos y compararlos con los del archivo /proc. Más abajo indico
los procesos ocultos que he detectado. Ninguno de ellos está en el /proc...
pero claro, es que tampoco entiendo exacatamente qué relación debería de
haber entre uno y otro.
Disculpad mi ignorancia: ¿pero no se dice que Linux es inmune a los virus?
Josep
josep@debian:/usr/sbin$ sudo ./chkrootkit -x lkm
ROOTDIR is `/'
###
### Output of: ./chkproc -v -v
###
PID 823: not in readdir output
PID 823: not in ps output
CWD 823: /var/cache/bind
EXE 823: /usr/sbin/named
PID 824: not in readdir output
PID 824: not in ps output
CWD 824: /var/cache/bind
EXE 824: /usr/sbin/named
PID 825: not in readdir output
PID 825: not in ps output
CWD 825: /var/cache/bind
EXE 825: /usr/sbin/named
PID 833: not in readdir output
PID 833: not in ps output
CWD 833: /
EXE 833: /usr/sbin/lwresd
PID 834: not in readdir output
PID 834: not in ps output
CWD 834: /
EXE 834: /usr/sbin/lwresd
PID 835: not in readdir output
PID 835: not in ps output
CWD 835: /
EXE 835: /usr/sbin/lwresd
PID 996: not in readdir output
PID 996: not in ps output
CWD 996: /var/lib/mysql
EXE 996: /usr/sbin/mysqld
PID 997: not in readdir output
PID 997: not in ps output
CWD 997: /var/lib/mysql
EXE 997: /usr/sbin/mysqld
PID 3631: not in readdir output
PID 3631: not in ps output
CWD 3631: /home/josep
EXE 3631: /usr/local/mozilla-v1.6/mozilla-bin
PID 3632: not in readdir output
PID 3632: not in ps output
CWD 3632: /home/josep
EXE 3632: /usr/local/mozilla-v1.6/mozilla-bin
You have 10 process hidden for readdir command
You have 10 process hidden for ps command
Reply to: