Nedanstående dök upp i mina loggar. Känns inte bra i maggropen. Någon som
kan lugna mig eller?
/etc/cron.daily/chkrootkit:
The following suspicious files and directories were found:
/usr/lib/j2se/1.4/jre/.systemPrefs
/usr/lib/j2se/1.4/jre/.systemPrefs/.systemRootModFile
/usr/lib/j2se/1.4/jre
On Wed, 07 Dec 2005, Mikael Bergman wrote:
Nedanstående dök upp i mina loggar. Känns inte bra i maggropen. Någon som
kan lugna mig eller?
/etc/cron.daily/chkrootkit:
The following suspicious files and directories were found:
/usr/lib/j2se/1.4/jre/.systemPrefs
/usr/lib/j2se/1.4/jre
On Wed, 7 Dec 2005 13:30:49 +0100
Patrik Wallstrom [EMAIL PROTECTED] wrote:
eth0: PACKET SNIFFER(/sbin/dhclient[5746])
dhclient har jag också fått varning för, så länge jag haft den installerad.
Tror bara det är ett falsklarm (just för dhclient alltså)
does *not* guarantee your system has not been
compromised! You should also run additional tests, e.g. using chkrootkit and
other measures.
:-)
Hej.
chkrootkit tycker att /usr/bin/kaffe/.system är en suspekt fil. Borde
jag oroa mig?
--
Vincent Lönngren [EMAIL PROTECTED]
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Ursäkta. /usr/lib/kaffe/.system skulle det vara.
--
Vincent Lönngren [EMAIL PROTECTED]
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Hittade följande i min chkrootkit-logg:
/etc/cron.daily/chkrootkit:
/usr/sbin/chkrootkit: line 2515: 9441 Doneecho
${TROJAN}
9442 Killed | ${egrep} ${L_REGEXP}$cmd${R_REGEXP}
/dev/null 21
/usr/sbin/chkrootkit: line 2549: inetdconf: command not found
Jag skulle nog bli lite paranoid...
eller rättare sagt, jag skulle ta ner burken, boota via en livecd och
kolla lite mera nogrant på vad som finns i den!
/Lasse
kringla wrote:
Körde chkrootkit som jag hade installerat och den gav detta:
Checking `lkm'... You have 2 process hidden
--- chkrootkit ger mig följande konstigheter:
Checking `bindshell'... INFECTED (PORTS: 60001)
Checking `lkm'... You have 4 process hidden for readdir command
You have 4 process hidden for ps command
Warning: Possible LKM Trojan installed¨
---
Frågan är ju hur man ska gå tillväga
hej
--- chkrootkit ger mig följande konstigheter:
Checking `bindshell'... INFECTED (PORTS: 60001)
Checking `lkm'... You have 4 process hidden for readdir command
You have 4 process hidden for ps command
Warning: Possible LKM Trojan installed?
---
chkrootkit -x lkm
ger en lista med
Ok, det verkar onekligen lite skumt, men läste att ibland kan ps kontrollen
visa fel
pga att processer kommer och går under tiden som chkrootkit kör. Då kan den
uppfatta
detta och felaktigt rapportera dolda processer.
Vill inte riva hela installationen bara för att man får kalla kårar när man
kringla skrev:
Körde chkrootkit som jag hade installerat och den gav detta:
Checking `lkm'... You have 2 process hidden for readdir command
You have 2 process hidden for ps command
Warning: Possible LKM Trojan installed
eth0: PACKET SNIFFER(/sbin/dhclient[2803])
Du kan kolla vem det
http://www.whoppix.net/
distro of choise! :)
väldigt bra live cd!
/Lasse
kringla wrote:
Ok, det verkar onekligen lite skumt, men läste att ibland kan ps kontrollen
visa fel
pga att processer kommer och går under tiden som chkrootkit kör. Då kan den
uppfatta
detta och felaktigt rapportera
Uppenbarligen borde jag har lästpå lite om chkrootkit först. Fy på mig.
Om det intresserar någon var två av processerna eggdrops vars binärfiler
hade blivit borttagna (fixat). De två andra verkar vara mysqld. Jag
provade att hämtahem debianpaketet på nytt och installera om mysqld men
I mitt fall visade det sig att mozilla-firefox var orsaken till två dolda
processer samt oläsbara mappar.
Studera nedan:
[EMAIL PROTECTED]:~$ sudo chkrootkit -x lkm
ROOTDIR is `/'
###
### Output of: ./chkproc -v -v
###
PID 3019: not in readdir output
PID 3019: not in ps output
CWD 3019
Körde chkrootkit som jag hade installerat och den gav detta:
Checking `lkm'... You have 2 process hidden for readdir command
You have 2 process hidden for ps command
Warning: Possible LKM Trojan installed
eth0: PACKET SNIFFER(/sbin/dhclient[2803])
Har fått det förut och det var bara
16 matches
Mail list logo