Merhabalar,
Ogrendigim kadariyla bu bir trojan degil, daha once de bildirilmis bir
bug. chkrootkit -x lkm ile gizlenen bu surecler soyle gozukuyor:
# chkrootkit -x lkm
ROOTDIR is `/'
###
### Output of: ./chkproc -v -v
###
PID 3: not in ps output
CWD 3: /
EXE 3: /
PID 4: not in ps output
CWD 4: /
EXE 4: /
PID 5: not in ps output
CWD 5: /
EXE 5: /
PID 6: not in ps output
CWD 6: /
EXE 6: /
You have 4 process hidden for ps command
Bu da ps aux'un ciktisi:
root 0 0.0 0.0 00 ?SWN 09:01 0:00
[ksoftirqd_CPU0]
root 0 0.0 0.0 00 ?SW 09:01 0:00 [kswapd]
root 0 0.0 0.0 00 ?SW 09:01 0:00 [bdflush]
root 0 0.0 0.0 00 ?SW 09:01 0:00
[kupdated]
3, 4, 5, 6 numarali bu surecler ps tarafindan 0 olarak goruluyor. Bug
raporuna http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=217525
adresinden ulasilabilir.
Bu arada, lkm trojanlari icin hazirlanmis KSTAT
(http://www.s0ftpj.org/en/site.html) yazilimina da ulastim,
ileriseviye.org'daki makale uzerinden. Oldukca islevsel gorunuyor. 2.4.x
kernel icin hazirlanmis olanini indirdim, ama bende hatalar verdi,
kuramadim.
Tesekkurler, iyi calismalar...
04-11-2003 Sal günü saat 13:44 sularında, Enver ALTIN dedi ki:
On Tue, 2003-11-04 at 13:39, EErdem wrote:
Merhaba,
Merhaba,
Checking `lkm'... You have 4 process hidden for ps command
Warning: Possible LKM Trojan installed
Bu gercekten bir trojan mi? Bu gizli surecleri gormenin bir yolu var mi?
Eger gercek bir trojan varsa bundan kurtulmanin bir yolu var mi?
(Sistemi yeniden kurmak disinda)
Aldiginiz mesaji aynen Google'da aratin.
--
Herkese iyi calismalar...
__
EErdem
--