chkrootkit
Germán Poó Caamaño
gpoo en ubiobio.cl
Sab Mar 4 21:54:14 CLST 2006
On Sat, 2006-03-04 at 12:56 -0300, Jose M.Herrera wrote:
> Horst von Brand wrote:
> >>Checking `lkm'... You have 3 process hidden for readdir command
> >>You have 3 process hidden for ps command
> >>chkproc: Warning: Possible LKM Trojan installed
> >>
> >>es algo grave, y si es asi cual podria ser la solución?
> >
> > Tienes visitantes no deseados.
>
> No necesariamente. Algunos programas usan procesos ocultos. Tienes que
> revisar esos procesos.
>
> Has un:
> ./chkrootkit -x lkm
>
> Ahi te mostrará los procesos ocultos, revisa si hay alguno raro.
Particularmente se nota en el cambio de núcleo entre 2.4 y 2.6; en
cuyo primer caso chkrootkit no reclama, y si en 2.6; para la misma
máquina y misma configuración.
Si sabes lo que estas ejecutando en tus máquina, se puede conocer
y actuar mejor frente a estos avisos.
Como experiencia, puedo indicar que si tienes SSMTP, chkrootkit
reclamará que tiene el Slapper en la máquina (porque coincidentemente
ambos usan el mismo puerto). De la misma forma si tienes ciertos
servicios de Radius.
En ningún caso significa relajarse, simplemente estar atento y
conocer tu máquinas.
--
Germán Poó-Caamaño
http://www.ubiobio.cl/~gpoo/
Concepción - Chile
Más información sobre la lista de distribución Linux