chkrootkit | /proc/<pid>/cmdline | bind | unverständli

Einrichten des lokalen Netzes, Verbindung zu anderen Computern und Diensten.
Antworten
Jazz_Rabbit
Beiträge: 1
Registriert: 02.04.2004 08:52:23

chkrootkit | /proc/<pid>/cmdline | bind | unverständlich

Beitrag von Jazz_Rabbit » 02.04.2004 09:07:00

Hallo Leute!

Habe zuhaus debian testing/unstable mit dem Kernel 2.6.3-1-k7.

chkrootkit meldet mir drei versteckte Prozesse. Nach einem

Code: Alles auswählen

chkrootkit -x lkm
hab ich herausgefunden, es handelt sich um bind. Ich hab dann durch

Code: Alles auswählen

cat /proc/<pid>/cmdline
erfahren, das der Name der Applikation (/usr/sbin/named)
mit den Parameter ohne Abstände in /proc/<pid>/cmdline geschrieben wurde.

In meinem Fall wird der Parameter '-u bind' aufgerufen (wird wohl standard sein).
Jedoch steht in /proc/<pid>/cmdline:

Code: Alles auswählen

/usr/sbin/named-ubind
Wieso ist das so? Natürlich schreit dann chkrootkit, das es sich hier möglicherweise
um einen Trojaner handelt, was eigentlich gar nicht stimmt.

Gruß,
Jazz_Rabbit
Nach oben
Benutzeravatar
Natas12
Beiträge: 1751
Registriert: 12.04.2002 20:59:12

Beitrag von Natas12 » 02.04.2004 10:24:57

ich habe etwas ähnliches - bei mir sind es staroffice und firefox, die versteckt werden.
"In den reichen Ländern hat die Freiheit gesiegt - mit all den schrecklichen Folgen, die das für die anderen mit sich bringt und noch bringen wird. Die Demokratie ist auf andere Epochen verschoben." (L. Canfora)
Nach oben
Benutzeravatar
Natas12
Beiträge: 1751
Registriert: 12.04.2002 20:59:12

Beitrag von Natas12 » 02.04.2004 13:13:31

so sieht das bei mir aus:

Code: Alles auswählen

samsa:/home/tom# chkrootkit -x lkm
ROOTDIR is `/'
###
### Output of: ./chkproc -v -v
###
PID   587: not in readdir output
PID   587: not in ps output
CWD   587: /home/tom
EXE   587: /home/tom/progs/staroffice7/program/soffice.bin
PID   594: not in readdir output
PID   594: not in ps output
CWD   594: /home/tom
EXE   594: /home/tom/progs/staroffice7/program/soffice.bin
PID   670: not in readdir output
PID   670: not in ps output
CWD   670: /home/tom
EXE   670: /usr/lib/mozilla-firefox/firefox-bin
PID   673: not in readdir output
PID   673: not in ps output
CWD   673: /home/tom
EXE   673: /usr/lib/mozilla-firefox/firefox-bin
You have     4 process hidden for readdir command
You have     4 process hidden for ps command
"In den reichen Ländern hat die Freiheit gesiegt - mit all den schrecklichen Folgen, die das für die anderen mit sich bringt und noch bringen wird. Die Demokratie ist auf andere Epochen verschoben." (L. Canfora)
Nach oben
Antworten

Zurück zu „Netzwerk“