Hallo !

Hier ist ein Auszug von chkrootkit 0.39a :

Checking `bindshell'... warning, got bogus unix line.
not infected
Checking `lkm'... You have 1 process hidden for readdir command
You have 1 process hidden for ps command
Warning: Possible LKM Trojan installed

Was mach ich jetzt ? Ist es wirklich ein Trojaner ? Besteht die Möglichkeit herauszufinden, welche Lücke benutzt wurde ?

Danke,
Pierre

google mal nach ps-real.c

Kompilier' und benutz es.

Es gibt auch vers. rootkit-checker.

Und in chkrootkit war auch mal ein Bug.

du hast nicht zufälligerweise Redhat Psyche??

cu
adme

das mit dem ps-real versuch ich mal...
das system läuft auf redhat 6.2 (was ist psyche ??)

Ich habe inzwischen aus einem anderen Forum auch noch nen Tipp bekommen:

1. chkrootkit einfach nochmal laufen lassen (und siehe da, die verdächtige meldung ist wieder weg...)

weil

2. es üblicherweise manchmal falschmeldungen während des ausführens von chkrootkit kommt

und

3. kann man mit chkrootkit -x lkm eine ausführliche lkm prüfung durchführen.

Ich hoffe daher, dass mein Server doch nicht gehackt ist.
Puh. Es sei denn, euch fällt noch was ein, was zu prüfen wäre...

Danke und Grüße
Pierre