Re: Infection supposee LKM Trojan: besoin d'aide.
Bonsoir > > OK ca marche: c'est pareil pour moi avec un ps aux. > Tout ce que tu dis me semble tres coherent. > Et je t'avoue que ca me rassure ;) > Moi qui avait deja tout sauvegarde en vue d'une eventuelle re-install > (ca m'a permis au moins de faire un peu de menage). > De plus j'ai renouvele l'experience en lancant le compte de mon amie > sous gnome et il s'avere que le proc qui bouffait des ressources n'etait > rien d'autre que l'xscreen-saver. Ceci explique cela. > > Malgre tout, pourrait-on savoir pourquoi donc ces 4 process > (ksoftirqd_CPU0, kswapd, bdflush, kupdated) > ne se voient pas attribuer de pid. > Sur ma debian/stable (ma passerelle) il n'y pas ce genre de problemes: > -- > root 3 0.0 0.0 0 0 ? SWN 17:52 0:00 [ksoftirqd_CPU0] > root 4 0.0 0.0 0 0 ? SW 17:52 0:00 [kswapd] > root 5 0.0 0.0 0 0 ? SW 17:52 0:00 [bdflush] > root 6 0.0 0.0 0 0 ? SW 17:52 0:00 [kupdated] > > Pourquoi donc ? Un bug dans la version instable ? > Moi je suis en testing avec le même problème à priori Un chkrootkit -q donne : You have 7 process hidden for ps command Warning: Possible LKM Trojan installed PROMISC mode detected in one of these interfaces: teql0 dummy0 eth0 eth1 ppp0 Un ps -aux root 1 0.0 0.0 1484 492 ?S07:21 0:05 init [2] root 0 0.0 0.0 00 ?SW 07:21 0:00 [migration_CPU0] root 0 0.0 0.0 00 ?SW 07:21 0:00 [migration_CPU1] root 4 0.0 0.0 00 ?SW 07:21 0:00 [keventd] root 0 0.0 0.0 00 ?SWN 07:21 0:00 [ksoftirqd_CPU0] root 0 0.0 0.0 00 ?SWN 07:21 0:00 [ksoftirqd_CPU1] root 0 0.0 0.0 00 ?SW 07:21 0:00 [kswapd] root 0 0.0 0.0 00 ?SW 07:21 0:00 [bdflush] root 0 0.0 0.0 00 ?SW 07:21 0:01 [kupdated] root10 0.0 0.0 00 ?SW 07:21 0:00 [kreiserfsd] Si je fais une strace -f sur /usr/lib/chkrootkit/chkproc je m'appercois qu'il essaye d'ouvrir /proc/[0..9] Et un dpkg -l procps le dit que j'ai la version 3.1.14-1 Enfin tous ca pour savoir si il n'y a tjrs pas de correction pour ca ?
Re: Infection supposee LKM Trojan: besoin d'aide.
Am 2003-11-02 16:51:43, schrieb Jean-Claude AYGALENQ: > >Bonsoir, > >Je crois bien que ma machine est infectée. >(Je suis sous debian/instable: noyau 2.4.22 ;-) C'est un BUG !!! Utilisee 'top' et les process sont visible... Pas de panique Michelle -- Registered Linux-User #280138 with the Linux Counter, http://counter.li.org.
Re: Infection supposee LKM Trojan: besoin d'aide.
Ainsi parla [EMAIL PROTECTED] le 308ème jour de l'an 2003: > > > J'ai le même probléme, j'ai trouvé un rapport de bug sur le BTS qui > parle de ça, mais, j'avoue ne pas y comprendre grand chose : > http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=217525 > > je suis en unstable avec un noyau compilé a partir des sources debian > 2.4.22 avec un procps : > ii procps3.1.14-1 > > ps me donne : > 1 ?S 0:05 init [2] > 2 ?SW 0:01 [keventd] > 0 ?SWN0:00 [ksoftirqd_CPU0] > 0 ?SW 0:01 [kswapd] > 0 ?SW 0:00 [bdflush] > 0 ?SW 0:00 [kupdated] > 7 ?SW 0:00 [khubd] > > Bien à vous, Le bug en question exprime exactement le problème rencontré. J'ai faisl'expérience cet aprem' (procps de 3.0.x à 3.1.14) et paf, le problème a surgit hors de la nuit. Un coup de strace -f sur /usr/lib/chkrootkit/chkproc (utilisé par chkrootkit) permet de voir qu'il exécute ps en interne, ceci explique donc cela. D'ailleurs, j'ai vu que ce cher chkproc tentait d'ouvrir /proc/[0..9]. Or si ma mémoire est bonne, le pid sous linux va de 1 à 32000 (environ). La méthode me parait donc un poil bourrine. Cela vaut-il un rapport de bug ? -- .,p**"*=b_ Nicolas Rueff ?P" .__ `*b Montbéliard - France |P .d?'`&, 9| http://rueff.tuxfamily.org M: |} |- H' [EMAIL PROTECTED] &| `#?_._oH' +33 6 77 64 44 80 `H. "`"`' GPG 0xDD44DAB4 `#?. ICQ 97700474 `^~. We are Penguin. Resistance is futile. You will be assimilated. -BEGIN GEEK CODE BLOCK- Version: 3.1 GCS/E/IT d- s:- a24>? C++ UL+++$ P++ L !E W+++ N++ o? K- w-- !O M- V-- !PS !PE !Y PGP+++ t+ 5 X+ R* tv++ b DI++ D++ G++ e+++ h r- y++ --END GEEK CODE BLOCK-- pgpkYA1Vf1Uub.pgp Description: PGP signature
Re: Infection supposee LKM Trojan: besoin d'aide.
le Sun, Nov 02, 2003 at 11:18:28PM +0100, Michel Luc à écrit : > Je suis en unstable : > > root1 0.0 0.0 1372 476 ? S12:21 0:00 init [2] > root 2 0.0 0.0 00 ? SW 12:21 0:00 [keventd] > root 3 0.0 0.0 00 ? SWN 12:21 0:00 [ksoftirqd_CPU0] > root 4 0.0 0.0 00 ? SW 12:21 0:00 [kswapd] > root 5 0.0 0.0 00 ? SW 12:21 0:00 [bdflush] > root 6 0.0 0.0 00 ? SW 12:21 0:00 [kupdated] > ??? > je ne suis pas passé par un 2.4.18 bf24, j'ai fait une "Net Install" (CD > woody) à partir du 2.2.20. Mais je doute que ce soit la raison? > > Ça éclaire rien du tout :( J'ai pas la réponse. > J'ai le même probléme, j'ai trouvé un rapport de bug sur le BTS qui parle de ça, mais, j'avoue ne pas y comprendre grand chose : http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=217525 je suis en unstable avec un noyau compilé a partir des sources debian 2.4.22 avec un procps : ii procps3.1.14-1 ps me donne : 1 ?S 0:05 init [2] 2 ?SW 0:01 [keventd] 0 ?SWN0:00 [ksoftirqd_CPU0] 0 ?SW 0:01 [kswapd] 0 ?SW 0:00 [bdflush] 0 ?SW 0:00 [kupdated] 7 ?SW 0:00 [khubd] Bien à vous, -- ---Olivier---
Re: Infection supposee LKM Trojan: besoin d'aide.
Le Dimanche 02 Novembre 2003 23:33, Sylvain LE GALL a écrit : > > C'est pas des process user ! > > C'est des processes kernel : priorité absolue et hors de toute forme de > gestion de process ( pas de memoire, pas de CPU... un truc du kernel > space quoi ). > > Pour ceux que je connais : > - kswapd : le démon qui gére le transfert de page de mémoire vive en > mémoire swap ( s'il est zombie ca veut dire que ta mémoire est mort, > je le sais parceque j'ai eut le pb ). > - bdflush/kupdated : ca sert a faire les buffers fichiers ( enfin je > suis pas sure, mais je crois ). ksoftirqd_CPU0 : ça sert à router les irq et éviter les conflits lorsqu'il y a plusieurs péréphériques sur le même IRQ. > > Le reste je sais pas. > > Mais bon, tout ca pour dire : don't panic. C'est des trucs totalement > normaux. > > A+ > Sylvain LE GALL
Re: Infection supposee LKM Trojan: besoin d'aide.
Bonjour, On Sun, Nov 02, 2003 at 07:53:43PM +0100, Jean-Claude AYGALENQ wrote: > > Bonjour et merci de vos reponses si promptes, > > > De même, 4 processus non listés dans ps. Par contre, j'ai aussi 4 > > processus avec un PID de 0 dans ps aux : > > > > root 3 0.0 0.0 0 0 ? SW Nov01 0:00 [kapmd] > > root 0 0.0 0.0 0 0 ? SWN Nov01 0:00 [ksoftirqd_CPU0] > > root 0 0.0 0.0 0 0 ? SW Nov01 0:10 [kswapd] > > root 0 0.0 0.0 0 0 ? SW Nov01 0:00 [bdflush] > > root 0 0.0 0.0 0 0 ? SW Nov01 0:00 [kupdated] > > > > A mettre en rapport avec les processus 4, 5, 6 et 7 que chkrootkit se > > plaint de ne pas voir... > > Je suis à peu près sûr de ne pas être infecté, je fais attention à ce > > qui tourne, en faisant un nmap j'ai rien de plus que d'habitude, > > netstat et lsof ne me donnent rien d'anormal. > > OK ca marche: c'est pareil pour moi avec un ps aux. > Tout ce que tu dis me semble tres coherent. > Et je t'avoue que ca me rassure ;) > Moi qui avait deja tout sauvegarde en vue d'une eventuelle re-install > (ca m'a permis au moins de faire un peu de menage). > De plus j'ai renouvele l'experience en lancant le compte de mon amie > sous gnome et il s'avere que le proc qui bouffait des ressources n'etait > rien d'autre que l'xscreen-saver. Ceci explique cela. > > Malgre tout, pourrait-on savoir pourquoi donc ces 4 process > (ksoftirqd_CPU0, kswapd, bdflush, kupdated) > ne se voient pas attribuer de pid. > Sur ma debian/stable (ma passerelle) il n'y pas ce genre de problemes: > -- > root 3 0.0 0.0 0 0 ? SWN 17:52 0:00 [ksoftirqd_CPU0] > root 4 0.0 0.0 0 0 ? SW 17:52 0:00 [kswapd] > root 5 0.0 0.0 0 0 ? SW 17:52 0:00 [bdflush] > root 6 0.0 0.0 0 0 ? SW 17:52 0:00 [kupdated] > > Pourquoi donc ? Un bug dans la version instable ? > C'est pas des process user ! C'est des processes kernel : priorité absolue et hors de toute forme de gestion de process ( pas de memoire, pas de CPU... un truc du kernel space quoi ). Pour ceux que je connais : - kswapd : le démon qui gére le transfert de page de mémoire vive en mémoire swap ( s'il est zombie ca veut dire que ta mémoire est mort, je le sais parceque j'ai eut le pb ). - bdflush/kupdated : ca sert a faire les buffers fichiers ( enfin je suis pas sure, mais je crois ). Le reste je sais pas. Mais bon, tout ca pour dire : don't panic. C'est des trucs totalement normaux. A+ Sylvain LE GALL
Re: Infection supposee LKM Trojan: besoin d'aide.
Le Dimanche 2 Novembre 2003 19:53, Jean-Claude AYGALENQ a écrit : > [ ... ] > Malgre tout, pourrait-on savoir pourquoi donc ces 4 process > (ksoftirqd_CPU0, kswapd, bdflush, kupdated) > ne se voient pas attribuer de pid. > Sur ma debian/stable (ma passerelle) il n'y pas ce genre de problemes: > -- > root 3 0.0 0.0 0 0 ? SWN 17:52 0:00 [ksoftirqd_CPU0] > root 4 0.0 0.0 0 0 ? SW 17:52 0:00 [kswapd] > root 5 0.0 0.0 0 0 ? SW 17:52 0:00 [bdflush] > root 6 0.0 0.0 0 0 ? SW 17:52 0:00 [kupdated] > > Pourquoi donc ? Un bug dans la version instable ? > Je suis en unstable : root1 0.0 0.0 1372 476 ? S12:21 0:00 init [2] root 2 0.0 0.0 00 ? SW 12:21 0:00 [keventd] root 3 0.0 0.0 00 ? SWN 12:21 0:00 [ksoftirqd_CPU0] root 4 0.0 0.0 00 ? SW 12:21 0:00 [kswapd] root 5 0.0 0.0 00 ? SW 12:21 0:00 [bdflush] root 6 0.0 0.0 00 ? SW 12:21 0:00 [kupdated] ??? je ne suis pas passé par un 2.4.18 bf24, j'ai fait une "Net Install" (CD woody) à partir du 2.2.20. Mais je doute que ce soit la raison? Ça éclaire rien du tout :( J'ai pas la réponse. @+ -- Michel Luc < [EMAIL PROTECTED] > Site : http://cern91.tuxfamily.org/ Visitez la GAULE, LUG de l'Essonne: http://gaule.tuxfamily.org
Re: Infection supposee LKM Trojan: besoin d'aide.
Bonjour et merci de vos reponses si promptes, > De même, 4 processus non listés dans ps. Par contre, j'ai aussi 4 > processus avec un PID de 0 dans ps aux : > > root 3 0.0 0.0 0 0 ? SW Nov01 0:00 [kapmd] > root 0 0.0 0.0 0 0 ? SWN Nov01 0:00 [ksoftirqd_CPU0] > root 0 0.0 0.0 0 0 ? SW Nov01 0:10 [kswapd] > root 0 0.0 0.0 0 0 ? SW Nov01 0:00 [bdflush] > root 0 0.0 0.0 0 0 ? SW Nov01 0:00 [kupdated] > > A mettre en rapport avec les processus 4, 5, 6 et 7 que chkrootkit se > plaint de ne pas voir... > Je suis à peu près sûr de ne pas être infecté, je fais attention à ce > qui tourne, en faisant un nmap j'ai rien de plus que d'habitude, > netstat et lsof ne me donnent rien d'anormal. OK ca marche: c'est pareil pour moi avec un ps aux. Tout ce que tu dis me semble tres coherent. Et je t'avoue que ca me rassure ;) Moi qui avait deja tout sauvegarde en vue d'une eventuelle re-install (ca m'a permis au moins de faire un peu de menage). De plus j'ai renouvele l'experience en lancant le compte de mon amie sous gnome et il s'avere que le proc qui bouffait des ressources n'etait rien d'autre que l'xscreen-saver. Ceci explique cela. Malgre tout, pourrait-on savoir pourquoi donc ces 4 process (ksoftirqd_CPU0, kswapd, bdflush, kupdated) ne se voient pas attribuer de pid. Sur ma debian/stable (ma passerelle) il n'y pas ce genre de problemes: -- root 3 0.0 0.0 0 0 ? SWN 17:52 0:00 [ksoftirqd_CPU0] root 4 0.0 0.0 0 0 ? SW 17:52 0:00 [kswapd] root 5 0.0 0.0 0 0 ? SW 17:52 0:00 [bdflush] root 6 0.0 0.0 0 0 ? SW 17:52 0:00 [kupdated] Pourquoi donc ? Un bug dans la version instable ? D'ailleurs je me rappelle avoir remarque avec interet ce kupdated lors de l'install du noyau 2.4.18 en saveur bf24 (a partir du CD). Il me prenait un max de ressource lors de copies de fichiers de taille importante (plusieurs centaine de MO) et du coup cela ralentissait considerablement le temps de copie de ces fichiers. Avec la recompilation et l'optimisation d'un nouveau noyau, ce probleme a disparu. Merci d'eclairer ma lanterne bien pale. Cordialement. J.C
Re : Infection supposee LKM Trojan: besoin d'aide.
J'ai aussi le même message. J'ai reinstallé le package procps pour être sûr de ma commande ps, le «problème» persiste. Je suis allé dans /proc pour voir ce que contiennent les répertoires correspondants aux pid incriminés : ça resseemble à un clone du pid 1 sauf qu'il y a un lien symbolique exe qui ne pionte vers rien alors que dans le pid 1, il pointe vers /bin/init. -- - Jean-Luc
Re: Infection supposee LKM Trojan: besoin d'aide.
VETSEL Patrice wrote: J'ai la même sortie que toi pour ./chkrootkit -x lkm Et je suis certain de ne pas être infecté. Itou -- : __ __ __ __ __ __ [EMAIL PROTECTED] : /_// __ // __ //_// __ // / phone.: +48 32 285 5276 : / / / /_/ // /_/ / / / / /_/ // / fax: +48 32 285 5276 : /_/ /_//_/ /_/ /_/ /_//_/ mobile..: +48 602 284 546
Re: Infection supposee LKM Trojan: besoin d'aide.
> J'ai la même sortie que toi pour ./chkrootkit -x lkm > Et je suis certain de ne pas être infecté. A moins que depuis 1H ma > Debian/Sid toute fraiche ne soit corrompue ;) > De même, 4 processus non listés dans ps. Par contre, j'ai aussi 4 processus avec un PID de 0 dans ps aux : root 3 0.0 0.0 00 ?SW Nov01 0:00 [kapmd] root 0 0.0 0.0 00 ?SWN Nov01 0:00 [ksoftirqd_CPU0] root 0 0.0 0.0 00 ?SW Nov01 0:10 [kswapd] root 0 0.0 0.0 00 ?SW Nov01 0:00 [bdflush] root 0 0.0 0.0 00 ?SW Nov01 0:00 [kupdated] A mettre en rapport avec les processus 4, 5, 6 et 7 que chkrootkit se plaint de ne pas voir... Je suis à peu près sûr de ne pas être infecté, je fais attention à ce qui tourne, en faisant un nmap j'ai rien de plus que d'habitude, netstat et lsof ne me donnent rien d'anormal. -- Lucas
Re: Infection supposee LKM Trojan: besoin d'aide.
J'ai la même sortie que toi pour ./chkrootkit -x lkm Et je suis certain de ne pas être infecté. A moins que depuis 1H ma Debian/Sid toute fraiche ne soit corrompue ;) Je ne peux pas t'aider plus. Sache tout de même que snort, s'il est installé, produit des faux positifs avec chkrootkit. ++ Le dim 02/11/2003 à 16:51, Jean-Claude AYGALENQ a écrit : > Bonsoir, > > Je crois bien que ma machine est infectée. > (Je suis sous debian/instable: noyau 2.4.22 > J'ai installe un environnement graphique avec gnome et puis xfce3 > parceque j'ai pas reussi a faire marche la version 4) > Un comportement suppect m'a interpellé: > Je suis sous xfce et j'ecoute la radio (fip) > et alors que je dinais a table je constate > que le proc se met soudainement a mouliner sans raison. > Je fait un ps aux et je vois que le proc est occupe a 60% > Je regarde le process en question (inconnu et sur le compte > de mon ami qui s'est loggue en graphique sous gnome il y 2 heures. > Je me rends sur son bureau: aucune appli est lance. > Tout revient a la normale: tres louche. > Bref!! > Un petit coup de apt-get chkrootkit plus tard > je lance la commande: tout est clair jusqu'en fin de log: > --- > Checking `bindshell'... not infected > Checking `lkm'... You have 4 process hidden for ps command > Warning: Possible LKM Trojan installed > Checking `rexedcs'... not found > Checking `sniffer'... Checking `w55808'... not infected > Checking `wted'... nothing deleted > Checking `scalper'... not infected > Checking `slapper'... not infected > Checking `z2'... nothing deleted > --- > AYe Je crois que ca ne fait plus de doute. > Je me lance sur le net: 2 pages plus tard: > je fais un > #cd /usr/sbin > et je lance un: > # ./chkrootkit -x lkm > - > ROOTDIR is `/' > ### > ### Output of: ./chkproc -v -v > ### > PID 3: not in ps output > CWD 3: / > EXE 3: / > PID 4: not in ps output > CWD 4: / > EXE 4: / > PID 5: not in ps output > CWD 5: / > EXE 5: / > PID 6: not in ps output > CWD 6: / > EXE 6: / > You have 4 process hidden for ps command > - > > Bref je crois bien que je suis infecte. > J'ai fait un check sur ma passerelle qui elle est en debian/stable > et tout est en ordre. > Je suis relativement nouveau dans le monde unix gnu/linux > Quelle est la procedure a suivre maintenant pour eradiquer ce mal, > sachant que s'il le faut je peux tres bien et relativement rapidement > sauvegarder quelques fichiers de données et formater ma partition racine. > > Merci de votre aide precieuse (et si possible rapide). > J.C > > P.S: j'ai poste le meme message sur fr.comp.os.linux.moderated > signature.asc Description: Ceci est une partie de message =?ISO-8859-1?Q?num=E9riquement?= =?ISO-8859-1?Q?_sign=E9e=2E?=
Infection supposee LKM Trojan: besoin d'aide.
Bonsoir, Je crois bien que ma machine est infectée. (Je suis sous debian/instable: noyau 2.4.22 J'ai installe un environnement graphique avec gnome et puis xfce3 parceque j'ai pas reussi a faire marche la version 4) Un comportement suppect m'a interpellé: Je suis sous xfce et j'ecoute la radio (fip) et alors que je dinais a table je constate que le proc se met soudainement a mouliner sans raison. Je fait un ps aux et je vois que le proc est occupe a 60% Je regarde le process en question (inconnu et sur le compte de mon ami qui s'est loggue en graphique sous gnome il y 2 heures. Je me rends sur son bureau: aucune appli est lance. Tout revient a la normale: tres louche. Bref!! Un petit coup de apt-get chkrootkit plus tard je lance la commande: tout est clair jusqu'en fin de log: --- Checking `bindshell'... not infected Checking `lkm'... You have 4 process hidden for ps command Warning: Possible LKM Trojan installed Checking `rexedcs'... not found Checking `sniffer'... Checking `w55808'... not infected Checking `wted'... nothing deleted Checking `scalper'... not infected Checking `slapper'... not infected Checking `z2'... nothing deleted --- AYe Je crois que ca ne fait plus de doute. Je me lance sur le net: 2 pages plus tard: je fais un #cd /usr/sbin et je lance un: # ./chkrootkit -x lkm - ROOTDIR is `/' ### ### Output of: ./chkproc -v -v ### PID 3: not in ps output CWD 3: / EXE 3: / PID 4: not in ps output CWD 4: / EXE 4: / PID 5: not in ps output CWD 5: / EXE 5: / PID 6: not in ps output CWD 6: / EXE 6: / You have 4 process hidden for ps command - Bref je crois bien que je suis infecte. J'ai fait un check sur ma passerelle qui elle est en debian/stable et tout est en ordre. Je suis relativement nouveau dans le monde unix gnu/linux Quelle est la procedure a suivre maintenant pour eradiquer ce mal, sachant que s'il le faut je peux tres bien et relativement rapidement sauvegarder quelques fichiers de données et formater ma partition racine. Merci de votre aide precieuse (et si possible rapide). J.C P.S: j'ai poste le meme message sur fr.comp.os.linux.moderated
