Am Samstag 22 Mai 2004 22:52 schrieb Manfred Sindhoff: > Gerhard Gaussling wrote: > > Hallo Liste, > > > > ich habe hier folgendes: > > > > chkrootkit: > > > > Checking `lkm'... You have 9 process hidden for readdir command > > You have 9 process hidden for ps command > > Warning: Possible LKM Trojan installed > > [...] > > > Muß ich mir Sorgen machen? > > [...] > [...] Denke aber (auf Holz klopfend), daß es > sich um false positives handelt, da chkrootkit Programm-Threads nicht > erkennt, die ab Kernel 2.6, bzw. 2.4 mit Patch, möglich sind. > > "The lkm check is known to produce false positives for NPTL kernels > (2.6 kernels or 2.4 with NPTL patches). Common multithreaded programs > which will show this behaviour are slapd, mozilla and apache2 if you > use one of its threading MPMs." > (http://www.wiggy.net/debian/developer-securing/) >
Hallo Manfred, Danke für Deine Antwort. Ich dachte mir schon so etwas. Es gibt ja wohl auch nichts wie etwa KSTAT [1] für kernel 2.6.x ? Was mir jetzt noch zu denken gibt ist die Warnung von kavscanner [2] und einige Einträge von samhain [3] Falls da jemand eine Idee hätte... ciao Gerhard [1] http://www.s0ftpj.org/tools/kstat.tgz [2] http://www.kaspersky.com/businessoptimal?chapter=4157740 [2] ( http://la-samhna.de/library/rootkits/detect.html | http://la-samhna.de/samhain/index.html | http://la-samhna.de/products.html )