Hallo allerseits! Gestern habe ich das Update von 9.0 auf 9.1 gewagt. Gut, daß ich mich vorher hier über diverse Problemchen informieren konnte! An dieser Stelle vielen Dank an alle, die hier Lösungen für die diversen Problemchen aufgezeigt haben! Nun zu meinem (aktuellen) Problem: chkrootkit 0.43 gibt bei meiner 9.1.Pro - Installation (von DVD + YOU) folgendes aus: [...] Checking `find'... INFECTED [...] Checking `top'... INFECTED [...] Checking `lkm'... You have 11 process hidden for readdir command You have 11 process hidden for ps command Warning: Possible LKM Trojan installed [...] Da ich das System gestern erst aufgesetzt habe und ich außer der Firewall des DSL-Routers auch noch die SuSEFirewall2 aktiv habe, bin ich mir zu 99% (ich weiß, daß das nich reicht) sicher, daß das "false positives" sein müßten. Irgendwelche "Fremd-Software" habe ich auch nicht aufgespielt. Könnt Ihr obiges nachvollziehen (sowas gab es ja auch schonmal bei Antivir), oder muß ich mir wirklich ernsthafte Gedanken um mein System machen? -- Viele Grüße aus Weimar Thomas Voigt
Am Sonntag, 2. Mai 2004 11:43 schrieb Thomas Voigt:
chkrootkit 0.43 gibt bei meiner 9.1.Pro - Installation (von DVD + YOU) folgendes aus:
da ich selber kein 9.1 habe, gerade einen Kumpel gefragt, das bei sich nachzuvollziehen. Er findet nichts. cu stonki -- www.stonki.de: the more I see, the more I know....... www.proftpd.de: Deutsche ProFTPD Dokumentation www.krename.net: Der Batch Renamer für KDE www.kbarcode.net: Die Barcode Solution für KDE
Am Sonntag, 2. Mai 2004 11:58 schrieb Stefan Onken:
da ich selber kein 9.1 habe, gerade einen Kumpel gefragt, das bei sich nachzuvollziehen.
Er findet nichts.
KORREKTUR: linux:/home/dominik/Desktop/Sources/chkrootkit-0.43 # ./chkrootkit <dominik> ROOTDIR is `/' [...] Checking `lkm'... You have 8 process hidden for readdir command You have 8 process hidden for ps command Warning: Possible LKM Trojan installed Wir testen nun mal RKHUNTER cu stonki -- www.stonki.de: the more I see, the more I know....... www.proftpd.de: Deutsche ProFTPD Dokumentation www.krename.net: Der Batch Renamer für KDE www.kbarcode.net: Die Barcode Solution für KDE
Am Sonntag, 2. Mai 2004 12:04 schrieb Stefan Onken: (da antworte ich mir nun pausenlos selber)
Wir testen nun mal RKHUNTER
File scan Scanned files: 306 Possible infected files: 0 Possible rootkits: Scanning took 149 seconds hmm. falscher Alarm ?! cu stonki -- www.stonki.de: the more I see, the more I know....... www.proftpd.de: Deutsche ProFTPD Dokumentation www.krename.net: Der Batch Renamer für KDE www.kbarcode.net: Die Barcode Solution für KDE
Moin,
chkrootkit 0.43 gibt bei meiner 9.1.Pro - Installation (von DVD + YOU) folgendes aus:
[...] Checking `find'... INFECTED [...] Checking `top'... INFECTED [...]
bei mir gleiches Resultat. Ich habe allerdings die aktuellen Sicherheitspatches vor dem Check eingespielt.
Checking `lkm'... You have 11 process hidden for readdir command
da steht bei mir allerdings nichts. bis denn ... /Frank/
Am Sonntag, 2. Mai 2004 15:42 schrieb Frank Röske:
bei mir gleiches Resultat. Ich habe allerdings die aktuellen Sicherheitspatches vor dem Check eingespielt.
Checking `lkm'... You have 11 process hidden for readdir command
da steht bei mir allerdings nichts.
ich hatte in der Security Liste gefragt, dort meinte einer, dass "ps" eventuell fehlerhaft, da die nicht angezeigten Prozesse definitiv zu Linux gehoeren.
0 ? SWN 0:00 [ksoftirqd_CPU0] 0 ? SW 0:02 [kswapd] 0 ? SW 0:00 [bdflush] 0 ? SW 0:00 [kupdated] 0 ? SW 0:00 [kinoded]
Naja, aber dennoch ein wenig merkwuerdig. cu stonki -- www.stonki.de: the more I see, the more I know....... www.proftpd.de: Deutsche ProFTPD Dokumentation www.krename.net: Der Batch Renamer für KDE www.kbarcode.net: Die Barcode Solution für KDE
Hallo Stefan, Am Sonntag Mai 2 2004 16:52 schrieb Stefan Onken:
Am Sonntag, 2. Mai 2004 15:42 schrieb Frank Röske:
bei mir gleiches Resultat. Ich habe allerdings die aktuellen Sicherheitspatches vor dem Check eingespielt.
Checking `lkm'... You have 11 process hidden for readdir command
da steht bei mir allerdings nichts.
ich hatte in der Security Liste gefragt, dort meinte einer, dass "ps" eventuell fehlerhaft, da die nicht angezeigten Prozesse definitiv zu Linux gehoeren.
0 ? SWN 0:00 [ksoftirqd_CPU0] 0 ? SW 0:02 [kswapd] 0 ? SW 0:00 [bdflush] 0 ? SW 0:00 [kupdated] 0 ? SW 0:00 [kinoded]
Die gehören meines Wissens zum Kernel selbst. Wenn ich sie nicht in der Prozessliste sehe, kämen mir Bedenken. root 2 0.0 0.0 0 0 ? SW 15:53 0:00 [keventd] root 3 0.0 0.0 0 0 ? SW 15:53 0:00 [kapmd] root 4 0.0 0.0 0 0 ? SWN 15:53 0:00 [ksoftirqd_CPU0] root 5 0.0 0.0 0 0 ? SW 15:53 0:00 [kswapd] root 6 0.0 0.0 0 0 ? SW 15:53 0:00 [bdflush] root 7 0.0 0.0 0 0 ? SW 15:53 0:00 [kupdated] root 8 0.0 0.0 0 0 ? SW 15:53 0:00 [kinoded] [...] Das ist die Ausgabe für meine soeben aufgesetzte Susi 9.0 Wenn es nicht gerade während der letzten drei Stunden einer geschafft hat, meine Workstation, die am ständig am Netz hängt, zu überwinden und sich auf der neuen SuSE umzutun, dann behaupte ich: Ist alles richtig so. Ich meinte, ich hätte gelesen, daß ganz schnelle Prozesse oft von den rootkits als LKM angezeigt werden; leider weiß ich nicht mehr wo. Das wären jedoch Fehlalarme. Helga -- ## Content Developer OpenOffice.org: lang/DE ## Office-Suite für Linux, Mac, Windows -- http://de.openoffice.org/ ## Werkstatt & Information zu OpenSource -- http://www.eschkitai.de/ ## Etikette, nein Danke? -- http://www.suse-etikette.de.vu/
Hallo Helga und die anderen, Azula@gmx.de (Helga Fischer) schrieb:
Die gehören meines Wissens zum Kernel selbst. Wenn ich sie nicht in der Prozessliste sehe, kämen mir Bedenken.
root 2 0.0 0.0 0 0 ? SW 15:53 0:00 [keventd] root 3 0.0 0.0 0 0 ? SW 15:53 0:00 [kapmd] root 4 0.0 0.0 0 0 ? SWN 15:53 0:00 [ksoftirqd_CPU0] root 5 0.0 0.0 0 0 ? SW 15:53 0:00 [kswapd] root 6 0.0 0.0 0 0 ? SW 15:53 0:00 [bdflush] root 7 0.0 0.0 0 0 ? SW 15:53 0:00 [kupdated] root 8 0.0 0.0 0 0 ? SW 15:53 0:00 [kinoded] [...]
Das ist die Ausgabe für meine soeben aufgesetzte Susi 9.0
Mit der 9.0 ging bei mir noch alles "glatt": Keine rootkits!
Ich meinte, ich hätte gelesen, daß ganz schnelle Prozesse oft von den rootkits als LKM angezeigt werden; leider weiß ich nicht mehr wo. Das wären jedoch Fehlalarme.
Das habe ich auch schon gelesen. Aber egal, wann ich chkrootkit starte, es werden _immer_ solche Prozesse gefunden. Das müßten ja dann Prozesse sein, die ständig nur am starten und beenden sind... -- Viele Grüße aus Weimar Thomas Voigt
http://www.rootkit.nl Ergebnis dieser Analyse: ---------------------------- Scan results ---------------------------- MD5 MD5 compared: 0 Incorrect MD5 checksums: 0 File scan Scanned files: 306 Possible infected files: 0 Possible rootkits: Scanning took 32 seconds -----------------------------------------------------------------------
On Sun, 2 May 2004 16:42:03 +0200
Frank Röske
Checking `lkm'... You have 11 process hidden for readdir command
da steht bei mir allerdings nichts.
Checking `lkm'... You have 12 process hidden for readdir command You have 12 process hidden for ps command Warning: Possible LKM Trojan installed Heute Morgen frisch von der SuSE CD installiert.
Upss... Da war mir doch ein leeres Posting rausgerutscht... =:-( suse@roeske-net.de (Frank Röske) schrieb:
chkrootkit 0.43 gibt bei meiner 9.1.Pro - Installation (von DVD + YOU) folgendes aus:
[...] Checking `find'... INFECTED [...] Checking `top'... INFECTED [...]
bei mir gleiches Resultat. Ich habe allerdings die aktuellen Sicherheitspatches vor dem Check eingespielt.
Deswegen hatte ich oben das YastOnlineUpdate erwähnt. Die sollten also bei mir auch drin sein. -- Viele Grüße aus Weimar Thomas Voigt
participants (5)
-
Carsten Weinberg -
Frank Röske -
Helga Fischer -
Stefan Onken -
Thomas Voigt