chkrootkit

josesalasg en chile.com josesalasg en chile.com
Lun Mar 6 10:10:32 CLST 2006 

Esto fue lo que me tiro, baje el servicio de named y desaparecieron los
procesos.

[root en server chkrootkit-0.46a]# ./chkrootkit -x lkm
ROOTDIR is `/'
###
### Output of: ./chkproc -v -v -p 2
###
PID  2016(/proc/2016): not in readdir output
PID  2016: not in ps output
CWD  2016: /var/named/chroot/var/named
EXE  2016: /usr/sbin/named
PID  2017(/proc/2017): not in readdir output
PID  2017: not in ps output
CWD  2017: /var/named/chroot/var/named
EXE  2017: /usr/sbin/named
PID  2018(/proc/2018): not in readdir output
PID  2018: not in ps output
CWD  2018: /var/named/chroot/var/named
EXE  2018: /usr/sbin/named
You have     3 process hidden for readdir command
You have     3 process hidden for ps command

Atte.

José
-----Mensaje original-----
De: linux-bounces en listas.inf.utfsm.cl
[mailto:linux-bounces en listas.inf.utfsm.cl]En nombre de Germán Poó
Caamaño
Enviado el: Sábado, 04 de Marzo de 2006 21:54
Para: Discusion de Linux en Castellano
Asunto: Re: chkrootkit


On Sat, 2006-03-04 at 12:56 -0300, Jose M.Herrera wrote:
> Horst von Brand wrote:
> >>Checking `lkm'... You have     3 process hidden for readdir command
> >>You have     3 process hidden for ps command
> >>chkproc: Warning: Possible LKM Trojan installed
> >>
> >>es algo grave, y si es asi cual podria ser la solución?
> >
> > Tienes visitantes no deseados.
>
> No necesariamente. Algunos programas usan procesos ocultos. Tienes que
> revisar esos procesos.
>
> Has un:
>   ./chkrootkit -x lkm
>
> Ahi te mostrará los procesos ocultos, revisa si hay alguno raro.

Particularmente se nota en el cambio de núcleo entre 2.4 y 2.6; en
cuyo primer caso chkrootkit no reclama, y si en 2.6; para la misma
máquina y misma configuración.

Si sabes lo que estas ejecutando en tus máquina, se puede conocer
y actuar mejor frente a estos avisos.

Como experiencia, puedo indicar que si tienes SSMTP, chkrootkit
reclamará que tiene el Slapper en la máquina (porque coincidentemente
ambos usan el mismo puerto).  De la misma forma si tienes ciertos
servicios de Radius.

En ningún caso significa relajarse, simplemente estar atento y
conocer tu máquinas.

-- 
Germán Poó-Caamaño
http://www.ubiobio.cl/~gpoo/
Concepción - Chile



-----------------------------------------
Conéctate con Chile.com.
http://www.chile.com/accesogratis/

Más información sobre la lista de distribución Linux