"Possible LKM Trojan installed" - jak upewnić się co do obecności intruza ?

[ZorteA]

Witam, podczas skanowania systemu z użyciem chkrootkit dostałem ostrzeżenie "Possible LKM Trojan installed". Rkhunter również zwraca pewne ostrzeżenia(screeny zamieszczam poniżej). Wiem, że na forum jest już temat dotyczący LKM, jednak w żaden sposób nie wyczerpuje on tematu. Jak upewnić się czy wynik skanowania nie jest fałszywie pozytywny ? i jeżeli okaże się, że faktycznie mam LKM jak go usunąć ?

http://i49.tinypic.com/24pl73b.png
http://i50.tinypic.com/if39dt.png
http://i50.tinypic.com/2e15g07.png

[luk1don]

A komputer nie eksplodował?

[bear7]

Zmień tytuł tematu tak, aby w sposób możliwie precyzyjny przedstawiał sedno sprawy, w której piszesz. Miej na uwadze również zgodność z REGULAMINEM
Tytuł tematu zmienisz edytując pierwszy post

W razie wątpliwości/zastrzeżeń odnośnie powyższej informacji skontaktuj się z moderatorem, który ją wstawił.

[krikras]

Unhide (drugi załącznik) to aplikacja, która służy do znajdowania procesów i portów TCP/UDP, ukrytych przez rootkity, moduły jądra Linux etc. Instalowałeś ten program? Warning występuje prawdopodobnie dlatego, że unhide wykonuje rzeczy, które chkrootkit traktuje jako podejrzane. Podobnie jest np, z dhclient

Kod: Zaznacz cały

eth0: PACKET SNIFFER(/sbin/dhclient)

Według mnie FalsePositive, ale... . Odnośnie LKM Rootkit, sprawdź to; http://www.s0ftpj.org/docs/lkm.htm i może jeszcxze to, ale jest to dosyć stare, ale może znajdziesz ciekawe info; http://seclists.org/incidents/2003/Jun/125 Może ktoś mądrzejszy się wypowie?