PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : lkm trojan


pcdog
25.11.04, 22:08
Checking `bindshell'... INFECTED (PORTS: 1524 31337)
Checking `lkm'... You have 2 process hidden for readdir command
You have 2 process hidden for ps command
Warning: Possible LKM Trojan installed



hab ich gerade gesehen.....
(aus langeweile chkrootkit laufen lassen)


was heisst das? fehlalarm?


das sys ist ein quadprozessor server auf dem vmware GSX rennt... kann es das sein?


grüsse
Silvan
tictactux
25.11.04, 22:52
Bei soviel Langeweile, bietet sich doch an, die Dokumentation
von chkrootkit zu lesen :D und die Listen bekannter false-positives
durchgehen (und das sind einige).
Aus README.debian bei mir:


portsentry: Portsentry by default listens to port 31337/udp, which chkrootkit
detects as malicious. chkrootkit checks for other malicious ports, which
may be bound by innocent programs.

Zum Thema 'hidden processes' könnte z.B. dieser Artikel als Anleitung
interessant sein:
http://honeynet.streetchemist.com/scans/scan29/sol/dvaartjes/dvaartjes.txt

Untersuchen sollte man das schon. Wollen wir hoffen daß es falscher Alarm ist.
DivisionByZero
25.11.04, 22:53
Hallo,
das scheint öfters zu kommen (bei mir zu Beispiel auch). Schließ alle Programme und lass es noch mal (oder auch öfters) laufen, dann taucht es eventuell nicht mehr auf.
Mit einiger Wahrscheinlichkeit ein also Fehlalarm,
Eine Suche bei google liefert jedenfalls viele Treffer über die Sache, z.B. das hier
http://www.medienzentrum-oberberg.de/cgi-bin/mz_download.pl?d=chkrootkit.pdf

mfg DivBy0
pcdog
26.11.04, 05:30
Bei soviel Langeweile, bietet sich doch an, die Dokumentation
von chkrootkit zu lesen :D und die Listen bekannter false-positives
durchgehen (und das sind einige).
Aus README.debian bei mir:


portsentry: Portsentry by default listens to port 31337/udp, which chkrootkit
detects as malicious. chkrootkit checks for other malicious ports, which
may be bound by innocent programs.

Zum Thema 'hidden processes' könnte z.B. dieser Artikel als Anleitung
interessant sein:
http://honeynet.streetchemist.com/scans/scan29/sol/dvaartjes/dvaartjes.txt

Untersuchen sollte man das schon. Wollen wir hoffen daß es falscher Alarm ist.



jupp danke

portsentry is installiert :D
wäre ned draufgekommen ...

hab mal mit rkhunter gesucht und dann nix gefunden...
sorry war ich sooooo doof....


grüessli Silvan
cane
26.11.04, 07:36
Besser einmal zu viel mißtrauisch gewesen als einmal zu wenig ;)

mfg
cane