Witam, podczas skanowania systemu z użyciem chkrootkit dostałem ostrzeżenie "Possible LKM Trojan installed". Rkhunter również zwraca pewne ostrzeżenia(screeny zamieszczam poniżej). Wiem, że na forum jest już temat dotyczący LKM, jednak w żaden sposób nie wyczerpuje on tematu. Jak upewnić się czy wynik skanowania nie jest fałszywie pozytywny ? i jeżeli okaże się, że faktycznie mam LKM jak go usunąć ?
http://i49.tinypic.com/24pl73b.png
http://i50.tinypic.com/if39dt.png
http://i50.tinypic.com/2e15g07.png
"Possible LKM Trojan installed" - jak upewnić się co do obecności intruza ?
"Possible LKM Trojan installed" - jak upewnić się co do obecności intruza ?
Ostatnio zmieniony 23 lis 2012, 23:41 przez ZorteA, łącznie zmieniany 2 razy.
- luk1don
- Przebojowy Jelonek
- Posty: 1768
- Rejestracja: 07 lis 2008, 16:17
- Płeć: Mężczyzna
- Wersja Ubuntu: inny OS
- Środowisko graficzne: Inne
- Architektura: x86
Re: LKM Trojan
A komputer nie eksplodował?
-
- Przyjaciel
- Posty: 6686
- Rejestracja: 20 sty 2009, 23:12
- Płeć: Mężczyzna
- Wersja Ubuntu: inny OS
- Środowisko graficzne: Inne
- Architektura: x86_64
- Lokalizacja: pwd
Re: LKM Trojan
Zmień tytuł tematu tak, aby w sposób możliwie precyzyjny przedstawiał sedno sprawy, w której piszesz. Miej na uwadze również zgodność z REGULAMINEM
Tytuł tematu zmienisz edytując pierwszy post
W razie wątpliwości/zastrzeżeń odnośnie powyższej informacji skontaktuj się z moderatorem, który ją wstawił.Tytuł tematu zmienisz edytując pierwszy post
O pomoc pytaj a forum, a nie przez PW.
- krikras
- Piegowaty Guziec
- Posty: 29
- Rejestracja: 04 sie 2012, 21:20
- Płeć: Mężczyzna
- Wersja Ubuntu: inny OS
- Środowisko graficzne: Xfce
- Architektura: x86
Re: "Possible LKM Trojan installed" - jak upewnić się co do obecności intruza ?
Unhide (drugi załącznik) to aplikacja, która służy do znajdowania procesów i portów TCP/UDP, ukrytych przez rootkity, moduły jądra Linux etc. Instalowałeś ten program? Warning występuje prawdopodobnie dlatego, że unhide wykonuje rzeczy, które chkrootkit traktuje jako podejrzane. Podobnie jest np, z dhclient
Według mnie FalsePositive, ale... . Odnośnie LKM Rootkit, sprawdź to; http://www.s0ftpj.org/docs/lkm.htm i może jeszcxze to, ale jest to dosyć stare, ale może znajdziesz ciekawe info; http://seclists.org/incidents/2003/Jun/125 Może ktoś mądrzejszy się wypowie?
Kod: Zaznacz cały
eth0: PACKET SNIFFER(/sbin/dhclient)
Kto jest online
Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 0 gości