Merhabalar, Ogrendigim kadariyla bu bir trojan degil, daha once de bildirilmis bir bug. chkrootkit -x lkm ile gizlenen bu surecler soyle gozukuyor: # chkrootkit -x lkm ROOTDIR is `/' ### ### Output of: ./chkproc -v -v ### PID 3: not in ps output CWD 3: / EXE 3: / PID 4: not in ps output CWD 4: / EXE 4: / PID 5: not in ps output CWD 5: / EXE 5: / PID 6: not in ps output CWD 6: / EXE 6: / You have 4 process hidden for ps command
Bu da ps aux'un ciktisi: root 0 0.0 0.0 0 0 ? SWN 09:01 0:00 [ksoftirqd_CPU0] root 0 0.0 0.0 0 0 ? SW 09:01 0:00 [kswapd] root 0 0.0 0.0 0 0 ? SW 09:01 0:00 [bdflush] root 0 0.0 0.0 0 0 ? SW 09:01 0:00 [kupdated] 3, 4, 5, 6 numarali bu surecler ps tarafindan 0 olarak goruluyor. Bug raporuna http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=217525 adresinden ulasilabilir. Bu arada, lkm trojanlari icin hazirlanmis KSTAT (http://www.s0ftpj.org/en/site.html) yazilimina da ulastim, ileriseviye.org'daki makale uzerinden. Oldukca islevsel gorunuyor. 2.4.x kernel icin hazirlanmis olanini indirdim, ama bende hatalar verdi, kuramadim. Tesekkurler, iyi calismalar... 04-11-2003 Sal günü saat 13:44 sularında, Enver ALTIN dedi ki: > On Tue, 2003-11-04 at 13:39, E&Erdem wrote: > > Merhaba, > > Merhaba, > > > Checking `lkm'... You have 4 process hidden for ps command > > Warning: Possible LKM Trojan installed > > Bu gercekten bir trojan mi? Bu gizli surecleri gormenin bir yolu var mi? > > Eger gercek bir trojan varsa bundan kurtulmanin bir yolu var mi? > > (Sistemi yeniden kurmak disinda) > > Aldiginiz mesaji "aynen" Google'da aratin. -- Herkese iyi calismalar... __________________________________________________________________ E&Erdem ------------------------------------------------------------------