Probleme mit LKM-Rootkit

[Madcat2000]

Hi Leute,

ich habe ein kleines Debian-Netzwerk(3 Rechner, einer davon als Router). Auf dem Router sitzt eine iptables-Firewall, die von außen alles blockt. Trotzdem hat sich bei mir ein LKM-Rootkit eingenistet (warscheinlich durch eine E-Mail).
Betroffen ist der eine Client-Rechner(testing).

chkrootkit bringt mir folgende Meldung:
"Checking `lkm'... You have 4 process hidden for readdir command
You have 4 process hidden for ps command
Warning: Possible LKM Trojan installed

Durch intensive Internetsuche habe ich Tipps bekommen, dass man die manipulierten Pakete durch neue ersetzen soll, aber das hat mir gar nichts gebracht (ausgetauscht habe ich "procps" und "dist", da in beiden das ps Kommando und das readdir-Kommando stecken).

Ich habe auch ein MySQL-Server laufen und habe gestern einige Tests gemacht, um die versteckten Prozesse loszuwerden und da fiel mir etwas auf. Wenn ich den MySQL-Server stoppe, habe ich gleich 2 versteckte Prozesse weniger.

Trotzdem gelingt es mir nicht den Trojaner loszuwerden. Eine Neuinstallation hatte ich erst vor ca. 5 Wochen gemacht und wollte nicht alles nochmal einstellen. Meine Frage: hat jemand einen guten Lösungsvorschlag, der mir weiterhelfen könnte?

Danke im Voraus für jeden Tipp!
Madcat

P.S. Ich habe ein 2.6.3-er Kernel laufen.

[C_A]

Ich will jetzt nichts falsches sagen aber bei mir hat chkrootkit auch schon einen vermeindlichen LKM-Trojaner gefunden, dies aber erst nachdem ich einen neuen Kernel hatte. Deshalb würde ich nicht alles für wahr halten. Auf linuxforen.de findest du dazu genug Beispiele.

Nachtrag:

chkrootkit has been tested on: Linux 2.0.x, 2.2.x and 2.4.x

Dies ist auf http://www.chkrootkit.org zu lesen.
-> also wird dein Kernel nicht unterstützt!

[el_cattivo]

Schau mal im Internet was der LKM macht. Wenn du ihn drauf hast UNBEDINGT platt machen. Wenn du keine seiner Symptome findest hast du ihn evtl. nicht drauf, was aber keineswegs sicher ist. Hier würde ich ggf. einen testrechner mit den selben Komponenten aufsetzen um zu sehen ob dort ein ähnliches Verhalten reproduzierbar ist. Ggf. auch mal in den chrootkit Foren / Maillinglisten nachfragen.

[domo]

chkrootkit gibt anscheinend öfter mal falsche Ausgaben bzgl. LKM. z.B scheint gnome / nautilius viele falsche positive zu geben. Ist auch hier bei mir so....

Ich sage das NICHT, weil ich weiss, dass du keinen LKM Torjaner hast. Nur solltest du vielleicht noch nachforschen vor der Neuinstallation, sonst hast du nachher genau die gleichen Meldungen....

Bitte sag uns, wenn du mehr Informationen hast ...

[domo]

Nachtrag:

Ist mir eben eingefallen:

Code: Alles auswählen

chkrootkit -x lkm

zeigt dir an, welche Prozesse er sieht.....

[pdreker]

LKM = Linux Kernel Module

chkrootkit schaut nach, ob er irgendwelche prozesse finden kann (in /proc normalerweise), die in der Ausgabe von ps nicht auftauchen. Wenn gerade zu dem Zeitpunkt einige Prozesse starten oder sich beenden, gibt es z.B. Falschmeldungen. Das steht aber soweit ich weiss auch in der Doku zu chkrootkit...

Patrick

[sowatt]

Hallo,
diese Meldung hatte ich auch schon, nachdem mein Sarge auf Kernel 2.6.x umgestellt
wurde. Das wird sich dann bei Dir evtl. auch als Falschmeldung heraustellen.

Du kannst aber zur "Gegenprobe" mal rkhunter durchlaufen lassen. Ich finde das Tool
nicht so schlecht.
http://www.rootkit.nl/

MfG
sowatt

[Madcat2000]

Hi,

danke für die vielen Tipps! Den rkhunter habe ich gestern schon gefunden und gleich drüberlaufen lassen. Er fand komischerweise nichts. Das Kommando

Code: Alles auswählen

 chkrootkit -x lkm 

habe ich auch getestet und hier die Ausgabe:

Code: Alles auswählen

###
### Output of: ./chkproc -v -v
###
PID   580: not in readdir output
PID   580: not in ps output
CWD   580: /var/lib/mysql
EXE   580: /usr/sbin/mysqld
PID   581: not in readdir output
PID   581: not in ps output
CWD   581: /var/lib/mysql
EXE   581: /usr/sbin/mysqld
PID  1155: not in readdir output
PID  1155: not in ps output
CWD  1155: /home/marcel
EXE  1155: /usr/lib/mozilla-firefox/firefox-bin
PID  1156: not in readdir output
PID  1156: not in ps output
CWD  1156: /home/marcel
EXE  1156: /usr/lib/mozilla-firefox/firefox-bin
You have     4 process hidden for readdir command
You have     4 process hidden for ps command

Dann habe ich mir das chkrootkit-Script mal angeschaut, wo er da eigentlich sucht, aber da steht nur drin, dass er die Ausgabe von ./chkproc auswertet und chkproc kann man ja nicht lesen.

Ansonsten kam mir noch der Gedanke, dass es vielleicht mit PHP4 und MySQL zusammenhängt, da ich ja seit ein paar Tagen ein bißchen mit PHP u. MySQL programmiere.

Madcat

[Tate]

gemäss dem output scheint es sich dabei ja um 4 prozesse von mysql und firefox zu handeln.. versuch doch mal, diese zu beenden und teste nochmal...

gruss

[Madcat2000]

Hi,

wenn ich die Prozesse abschiesse, sind sie weg. Sobald ich den Firefox starte, sind sie wieder da. Ich habe nochmal mit rkhunter probiert und die Ausgabe war komplett clean. Also, anscheinend doch ein Bug.

Madcat

[Homeless1]

hab grad auch gescannt:

Code: Alles auswählen

Checking `lkm'... You have    11 process hidden for readdir command
You have    11 process hidden for ps command

sieht aber nach einem fehlalarm wie oben aus: kernel 2.6.6

[domo]

Code: Alles auswählen

ROOTDIR is `/'
Checking `lkm'... You have    34 process hidden for readdir command
You have    34 process hidden for ps command
Warning: Possible LKM Trojan installed

Hehe ich schaff noch mehr

Aber in Singlemodus ist es dann clean, so dass ich mal annehme es sei ok.

[Madcat2000]

Hi,

also ich würde mich im Moment nur auf die Ausgabe von Rootkithunter verlassen, bis der Bug behoben ist. Ich habe die Ausgaben bei testing und bei sid gehabt, also scheint es nur bei der stable i.O. zu sein.

Madcat