Re: chkrootkit
I mitt fall visade det sig att mozilla-firefox var orsaken till två dolda processer samt oläsbara mappar.
Studera nedan:
xxx@homer:~$ sudo chkrootkit -x lkm
ROOTDIR is `/'
###
### Output of: ./chkproc -v -v
###
PID 3019: not in readdir output
PID 3019: not in ps output
CWD 3019: /home/xxx
EXE 3019: /usr/lib/mozilla-firefox/firefox-bin
PID 3020: not in readdir output
PID 3020: not in ps output
CWD 3020: /home/xxx
EXE 3020: /usr/lib/mozilla-firefox/firefox-bin
You have 2 process hidden for readdir command
You have 2 process hidden for ps command
(Nu stänger jag av mozilla-firefox)
xxx@homer:~$ sudo chkrootkit -x lkm
ROOTDIR is `/'
###
### Output of: ./chkproc -v -v
###
xxx@homer:~$
On Mon, 20 Dec 2004 17:36:36 +0100
Linus Malmgren <linma921@student.liu.se> wrote:
> Uppenbarligen borde jag har lästpå lite om chkrootkit först. Fy på mig.
>
> Om det intresserar någon var två av processerna eggdrops vars binärfiler
> hade blivit borttagna (fixat). De två andra verkar vara mysqld. Jag
> provade att hämtahem debianpaketet på nytt och installera om mysqld men
> chkrootkit tycker fortfarande att de är skumma.
>
> Tack för tipsen iaf. Även om problemen inte är helt lösta så känner jag
> mig lungare iaf. =)
>
> /Linus
>
>
> thomas.marquart@astro.uu.se wrote:
> > hej
> >
> >
> >>--- chkrootkit ger mig följande konstigheter:
> >>Checking `bindshell'... INFECTED (PORTS: 60001)
> >>Checking `lkm'... You have 4 process hidden for readdir command
> >>You have 4 process hidden for ps command
> >>Warning: Possible LKM Trojan installed?
> >>---
> >
> >
> > chkrootkit -x lkm
> > ger en lista med vilka processer det är. om det innehåller bara
> > saker man har startat själv och om det finns ingen gömd
> > process kvar när man avslutar alla dem, skulle nog allt vara okej,
> > eller hur?
> >
> > /thomas
>
>
> --
> To UNSUBSCRIBE, email to debian-user-swedish-REQUEST@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
>
>
Reply to: