huhu,

ich habe eben auf meinem relativ frisch aufgesetztem sid chkrootkit laufen lassen. Mit folgendem Ergebnis:



...
ROOTDIR is `/'
Checking `aliens'... no suspect files
Searching for suspicious files and dirs, it may take a while...
/usr/lib/j2se/1.4/jre/.systemPrefs
/usr/lib/j2se/1.4/jre/.systemPrefs/.systemRootModFile
/usr/lib/j2se/1.4/jre/.systemPrefs/.system.lock
/usr/lib/j2se/1.4/jre/.systemPrefs
Checking `lkm'... You have 4 process hidden for readdir command
You have 4 process hidden for ps command
Warning: Possible LKM Trojan installed
eth0: PACKET SNIFFER(/usr/sbin/pppoe[14031], /usr/sbin/pppoe[14031])


Was mache ich jetzt am besten?

EDIT: Bezieht sich das "4 process hidden for readdir command" und "You have 4 process hidden for ps command" auf die 4 Java Dateien? Das wäre ja wohl eher ein Fehlalarm.

Hallo,

das war glaube ich unter RedHat mal aktuell mit einer fälschlicherweise ausgegebenen Warnung bzgl ich glaube just LKM. Dieses hatte aber was mit dem verwendeten Kernel zu tun - nicht etwa mit einem "echten LKM". Ich wäre also erstmal geschockt an Deiner Stelle und würde ein sichereres System booten und im Netz nach just diesem Fehler suchen und gucken, ob es wirklich ausgeschlossen werden kann, dass es sich um was anderes handelt (den Kernel nämlich) als das LKM-Ding.

Ich hatte auch mal so eine LKM-Warnung, mit einer neuen chrooktik -Version war das dann aber Vergangenheit. Oder war's ein anderer Kernel? Na, egal.

Ansonsten: vom Netz nehmen, Sytem "vernichten".

Und nein, das bezieht sich nicht auf die Java Dinger. Der vorangegangene Test ist abgeschlossen, und nun war /ist die Prozesstabelle dran ;)

Pippi

Ok, dann werd ich mal google anschmeißen.

Was ist denn von der eth0 Meldung zu halten?

Klingt auch nicht besonders gut und ich würde mit dem System wirklich nicht mehr arbeiten erstmal und versuchen zu klären, was vor sich geht. Hoffe für Dich, dass Du ein heiles System "in Reserve" hast!

Und im Zweifelsfall gilt sowieso: immer löschen - und zwar das gesamte System! Und danach nicht den gleichen "Mist" neu installieren ;)

pippi

Also nachdem ich nun Mozilla beendet habe, hab ich nur noch einen Prozess, der nicht angezeigt wird.

chkrootkit -x lkm sagt:



ROOTDIR is `/'
###
### Output of: ./chkproc -v -v
###
PID 14524: not in readdir output
PID 14524: not in ps output
CWD 14524: /home/user
EXE 14524: /usr/bin/wish8.4
You have 1 process hidden for readdir command
You have 1 process hidden for ps command



EDIT: Jetzt habe ich "Ding" auch noch beendet, nun findet chkrootkit nichts mehr.
Ist das nun ein gutes oder ein schlechtes Zeichen?

Hallo,

habe diese Meldung auch erhalten und mal etwas gesucht.
Ist ein Bug im chkrootkit Packet.
http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=245574&msg=1

Mfg

Profbunny

Hallo,

habe diese Meldung auch erhalten und mal etwas gesucht.
Ist ein Bug im chkrootkit Packet.
http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=245574&msg=1

Mfg

Profbunny

Jo, das hatte ich auch schon gelesen. Scheint wirklich ein Fehlalarm zu sein, bei Google hagelt es hits dazu...

Hi,

woran es bei mir liegt ist mir inzwischen klar.
proc-restrictions... vom grsecurity patch.

Da wird ps für bestimmte user komplett unsichtbar, hatte nur vergessen meinen user einzutragen.

Keep Kuhell.

Mfg

Profbunny