Merhabalar,
Ogrendigim kadariyla bu bir trojan degil, daha once de bildirilmis bir
bug. chkrootkit -x lkm ile gizlenen bu surecler soyle gozukuyor:
# chkrootkit -x lkm
ROOTDIR is `/'
###
### Output of: ./chkproc -v -v
###
PID 3: not in ps output
CWD 3: /
EXE 3: /
PID 4: not in ps output
CWD 4: /
EXE 4: /
PID 5: not in ps output
CWD 5: /
EXE 5: /
PID 6: not in ps output
CWD 6: /
EXE 6: /
You have 4 process hidden for ps command
Bu da ps aux'un ciktisi:
root 0 0.0 0.0 00 ?SWN 09:01 0:00
[ksoftirqd_CPU0]
root 0 0.0 0.0 00 ?SW 09:01 0:00 [kswapd]
root 0 0.0 0.0 00 ?SW 09:01 0:00 [bdflush]
root 0 0.0 0.0 00 ?SW 09:01 0:00
[kupdated]
3, 4, 5, 6 numarali bu surecler ps tarafindan 0 olarak goruluyor. Bug
raporuna http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=217525
adresinden ulasilabilir.
Bu arada, lkm trojanlari icin hazirlanmis KSTAT
(http://www.s0ftpj.org/en/site.html) yazilimina da ulastim,
ileriseviye.org'daki makale uzerinden. Oldukca islevsel gorunuyor. 2.4.x
kernel icin hazirlanmis olanini indirdim, ama bende hatalar verdi,
kuramadim.
Tesekkurler, iyi calismalar...
04-11-2003 Sal günü saat 13:44 sularında, Enver ALTIN dedi ki:
> On Tue, 2003-11-04 at 13:39, E&Erdem wrote:
> > Merhaba,
>
> Merhaba,
>
> > Checking `lkm'... You have 4 process hidden for ps command
> > Warning: Possible LKM Trojan installed
> > Bu gercekten bir trojan mi? Bu gizli surecleri gormenin bir yolu var mi?
> > Eger gercek bir trojan varsa bundan kurtulmanin bir yolu var mi?
> > (Sistemi yeniden kurmak disinda)
>
> Aldiginiz mesaji "aynen" Google'da aratin.
--
Herkese iyi calismalar...
__
E&Erdem
--