Re: lkm rootkit

To: Tuija <tuijan@reppu.net>
Cc: debian-fi@fishpool.com
Subject: Re: lkm rootkit
From: Esa Turtiainen <etu@dna.fi>
Date: Sat, 24 Apr 2004 22:49:40 +0300
Message-id: <[🔎] 408AC4D4.6040507@dna.fi>
In-reply-to: <[🔎] 200404242217.45825.tuijan@reppu.net>
References: <[🔎] 200404242217.45825.tuijan@reppu.net>


Sain samantyyppisen ilmoituksen.  Verkosta löytyi
viittaus http://bugs.debian.org/222179:

That's a bug in chkrootkit. With the latest glibc and 2.6 kernel, the
threading model has changed. Threads no longer show up as individual
processes. Chkrootkit should be updated to work with the latest glibc
and 2.6 kernel (i.e. it should check /proc/<pid>/task too)

	Esa

Tuija wrote:

Iltaa Kaikille :-)

Chkrootkit löysi kummastakin Sarge systeemistäni:
Checking `lkm'... You have     3 process hidden for readdir command
You have     3 process hidden for ps command
Warning: Possible LKM Trojan installed

Erityisesti tämän läppärin osalta tuo kummastuttaa,
kun tämä useita kertoja päivässä suljettunakin.
Ja tuo pidempään, päivän kerrallaan idlaava
sisäverkon serveri jossa on sshd ajossa,
on sekin rautamuurin takana maailmalta.

Jonkinlaisen bugin mahdollisuudestakin luin?
Onko mitään keinoa luetettavasti selvittää
onko systeemeissäni rootkit vai ei?
Vai onko vain viisainta formatoida levyt?
Kumpaankin on asennettu ohjelmia vain
debianin testingistä.

t.Tuija

Reply to:

Follow-Ups:
- Re: lkm rootkit
  - From: Tuija <tuijan@reppu.net>

References:
- lkm rootkit
  - From: Tuija <tuijan@reppu.net>

Prev by Date: lkm rootkit
Next by Date: Re: lkm rootkit
Previous by thread: lkm rootkit
Next by thread: Re: lkm rootkit
Index(es):
- Date
- Thread