Re: Trojan Uyarisi

Merhabalar,
Ogrendigim kadariyla bu bir trojan degil, daha once de bildirilmis bir
bug. chkrootkit -x lkm ile gizlenen bu surecler soyle gozukuyor:
# chkrootkit -x lkm
ROOTDIR is `/'
###
### Output of: ./chkproc -v -v
###
PID 3: not in ps output
CWD 3: /
EXE 3: /
PID 4: not in ps output
CWD 4: /
EXE 4: /
PID 5: not in ps output
CWD 5: /
EXE 5: /
PID 6: not in ps output
CWD 6: /
EXE 6: /
You have 4 process hidden for ps command

Bu da ps aux'un ciktisi:

root 0  0.0  0.0 00 ?SWN  09:01   0:00
[ksoftirqd_CPU0]
root 0  0.0  0.0 00 ?SW   09:01   0:00 [kswapd]
root 0  0.0  0.0 00 ?SW   09:01   0:00 [bdflush]
root 0  0.0  0.0 00 ?SW   09:01   0:00
[kupdated]

3, 4, 5, 6 numarali bu surecler ps tarafindan 0 olarak goruluyor. Bug
raporuna http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=217525
adresinden ulasilabilir. 

Bu arada, lkm trojanlari icin hazirlanmis KSTAT
(http://www.s0ftpj.org/en/site.html) yazilimina da ulastim,
ileriseviye.org'daki makale uzerinden. Oldukca islevsel gorunuyor. 2.4.x
kernel icin hazirlanmis olanini indirdim, ama bende hatalar verdi,
kuramadim. 

Tesekkurler, iyi calismalar...

04-11-2003 Sal günü saat 13:44 sularında, Enver ALTIN dedi ki:
> On Tue, 2003-11-04 at 13:39, E&Erdem wrote:
> > Merhaba,
> 
> Merhaba,
> 
> > Checking `lkm'... You have 4 process hidden for ps command
> > Warning: Possible LKM Trojan installed
> > Bu gercekten bir trojan mi? Bu gizli surecleri gormenin bir yolu var mi?
> > Eger gercek bir trojan varsa bundan kurtulmanin bir yolu var mi?
> > (Sistemi yeniden kurmak disinda)
> 
> Aldiginiz mesaji "aynen" Google'da aratin.
-- 
Herkese iyi calismalar...
__
 E&Erdem
-- 
   

Re: Trojan Uyarisi

[Enver ALTIN]

On Tue, 2003-11-04 at 13:39, E&Erdem wrote:
> Merhaba,

Merhaba,

> Checking `lkm'... You have 4 process hidden for ps command
> Warning: Possible LKM Trojan installed
> Bu gercekten bir trojan mi? Bu gizli surecleri gormenin bir yolu var mi?
> Eger gercek bir trojan varsa bundan kurtulmanin bir yolu var mi?
> (Sistemi yeniden kurmak disinda)

Aldiginiz mesaji "aynen" Google'da aratin.
-- 
 __
|  |
|  |  Enver ALTIN (a.k.a. skyblue)
|  |  Software developer, IT consultant
|FRONT |
|==|  FrontSITE Bilgi Teknolojisi A.Ş.
|_SITE_|  http://www.frontsite.com.tr/


signature.asc
Description: This is a digitally signed message part

Trojan Uyarisi

Merhaba,
chkrootkit'i calistirdiktan sonra asagidaki uyariyi verdi:

Checking `lkm'... You have 4 process hidden for ps command
Warning: Possible LKM Trojan installed

Bu gercekten bir trojan mi? Bu gizli surecleri gormenin bir yolu var mi?
Eger gercek bir trojan varsa bundan kurtulmanin bir yolu var mi?
(Sistemi yeniden kurmak disinda)

-- 
Herkese iyi calismalar...
--
E&Erdem