On Fri, 19 Feb 2016 09:25:54 +0200 Sohin Vyacheslav <[email protected]> wrote:
> День добрый, > > chkrootkit выдал такое: > Checking `passwd'... INFECTED > Checking `lkm'... You have 1 process hidden for readdir command > You have 1 process hidden for ps command > chkproc: Warning: Possible LKM Trojan installed > > проверил контрольные суммы /bin/ps и сумму в оригинальном deb-пакете > procps -> совпадают, запускал Чем проверял? debsums или стандартным md5sum? md5sum трояны обычно подменяют, а перловые модули, которыми пользуется debsums - нет. Вообще подобного рода проверки стоит делать, перезагрузившись с System Rescue CD с помощью утилиты, содержавшеся на этом CD. > > # lsof /bin/ps > > # fuser /bin/ps > > а в ответ - тишина... > получается ложная тревога? > > и по поводу файла passwd как удостовериться, что это тоже не ложная > тревога? сравнить по количеству строк или есть какие-то инструменты > для этого? По-моему, здесь речь идет о файле /bin/passwd, а не /etc/passwd.
