mein root server proivder hat mir unter anderem wegen dem rootkit problem von 9.1 abgeraten bis suse dieses und andere probleme gefixt hat. -----Original Message----- From: Torsten Foertsch [mailto:torsten.foertsch@gmx.net] Sent: Tuesday, July 27, 2004 10:34 AM To: suse-linux@suse.com Subject: chkrootkit auf suse9.1 -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Hallo, ich habe gerade chkrootkit auf einer recht frischen 9.1 Kiste laufen lassen. Es sagt u.a. # ./chkproc -v -v PID 2438: not in readdir output PID 2438: not in ps output CWD 2438: / EXE 2438: /usr/sbin/nscd PID 2439: not in readdir output PID 2439: not in ps output CWD 2439: / EXE 2439: /usr/sbin/nscd PID 2440: not in readdir output PID 2440: not in ps output CWD 2440: / EXE 2440: /usr/sbin/nscd PID 2441: not in readdir output PID 2441: not in ps output CWD 2441: / EXE 2441: /usr/sbin/nscd PID 2442: not in readdir output PID 2442: not in ps output CWD 2442: / EXE 2442: /usr/sbin/nscd You have 5 process hidden for readdir command You have 5 process hidden for ps command Nun ist Process 2437 ein nicht versteckter /usr/sbin/nscd. Früher unter 2.4 gab es diesen Prozess im ps Output immer in mehreren Exemplaren. Seit Suse 9.1 nur einmal. Daher nehme ich an, dass es sich hierbei um falschen Alarm handelt, da die angemeckerten Prozesse wohl nur weitere Threads des Prozesses 2437 sind. Liege ich da richtig? Etwas bedenklicher macht mich, dass chkrootkit top und find als INFECTED deklariert. In top findet er den String "/prof": # strings -a /usr/bin/top | egrep "/dev/xmx|/dev/ttyop|/dev/pty[pqrsx]|/dev/hdp|/dev/dsx|/prof|/dev/tux|proc\. h" /prof und in find "security": # strings -a /usr/bin/find | egrep "/dev/ttyof|/dev/pty[pqrs]|/prof|/home/virus|security|file\.h" security.selinux Ist das normal? Danke, Torsten -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.4 (GNU/Linux) iD8DBQFBBhN2wicyCTir8T4RApbxAKCh4Sn9LC8h76UgCeLohj+8SK04/gCdF0b3 2xFnXXlXGe/+v3q2Ge6hXmU= =nWEx -----END PGP SIGNATURE----- -- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-linux-unsubscribe@suse.com Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-linux-help@suse.com