Ok, det verkar onekligen lite skumt, men läste att ibland kan ps kontrollen visa fel
pga att processer kommer och går under tiden som chkrootkit kör. Då kan den uppfatta
detta och felaktigt rapportera dolda processer.
Vill inte riva hela installationen bara för att man får kalla kårar när man ser sånt här.
Om man däremot enbart kör "chkrootkit lkm" borde den inte visa något, men för vissa
personer har det i 2.6 kärnan rapporterats att man har någon LKM Trojan trots att man
inte har haft det. Så frågan är om det är en trojan eller om det är något med kärnan.
Jag har andra versioner av 2.6 kärnan liggande så jag ska vid någon omstart köra en
äldre och kolla igen med chkrootkit.
Vad kan jag använda för bootcd för att leta efter intrång. Jag menar typ någon iso
jag kan ladda ned med bekväma funktioner färdigt :)
Har sett timos och en tysk "rettungs CD" men vill veta om det finns något mer avsett för
"forensic" analys.
[1] http://www.linuxquestions.org/questions/archive/4/2004/01/2/127748
On Mon, 20 Dec 2004 10:58:05 +0100
lasse <lasse@st0kk.com> wrote:
Jag skulle nog bli lite paranoid...
eller rättare sagt, jag skulle ta ner burken, boota via en livecd och
kolla lite mera nogrant på vad som finns i den!
/Lasse
kringla wrote:
Körde chkrootkit som jag hade installerat och den gav detta:
Checking `lkm'... You have 2 process hidden for readdir command
You have 2 process hidden for ps command
Warning: Possible LKM Trojan installed
eth0: PACKET SNIFFER(/sbin/dhclient[2803])
Har fått det förut och det var bara falskt alarm, sedan försvann varningen för att nu återkomma?