Hi! Вот тут на одной из машин кажется rootkit, хотелось-бы проконсультироватся... просто проверка: - -- % /usr/sbin/chkrootkit -x lkm ROOTDIR is /' ### ### Output of: ./chkproc -v -v ### PID 3: not in ps output CWD 3: /root EXE 3: /root PID 4: not in ps output CWD 4: /root EXE 4: /root PID 5: not in ps output CWD 5: /root EXE 5: /root PID 6: not in ps output CWD 6: /root EXE 6: /root You have 4 process hidden for ps command
% ps axu USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND root 1 6.2 0.2 2444 1388 ? S 23:56 0:09 init root 2 0.0 0.0 0 0 ? SW 23:56 0:00 [keventd] root 0 0.0 0.0 0 0 ? SWN 23:56 0:00 [ksoftirqd_CPU0] root 0 0.0 0.0 0 0 ? SW 23:56 0:00 [kswapd] root 0 0.0 0.0 0 0 ? SW 23:56 0:00 [bdflush] root 0 0.0 0.0 0 0 ? SW 23:56 0:00 [kupdated] root 7 0.0 0.0 0 0 ? SW 23:57 0:00 [kjournald] root 10 0.0 0.0 0 0 ? SW 23:57 0:00 [kjournald] root 11 0.0 0.0 0 0 ? SW 23:57 0:00 [kjournald] root 12 0.0 0.0 0 0 ? SW 23:57 0:00 [kjournald] root 13 0.0 0.0 0 0 ? SW 23:57 0:00 [kjournald] root 123 0.0 0.1 2308 708 ? R 23:59 0:00 ps axuwwwf % mount /dev/hda7 on / type ext3 (rw) proc on /proc type proc (rw) % uname -a Linux (none) 2.4.20 #1 Mon Jan 13 11:19:26 MSK 2003 i686 GNU/Linux - -- Дает вот такие результаты, система загружена через boot: linux init=/bin/sh смонтирован / и /proc, и все по lsmod ни чего не выводится если это LKM, то как определить тип и как от него избавится ? Понятно что хотеолось-бы полной переустановкой, но... можно-ли без этого обойтись ? Какие утилиты для этого есть (в интернете нашел kstat, но он не собирается) Чего читать и куда смотреть ? Да, разбирался с fcheck - не нашел ни каких фатальных вещей, если LKM rootkit и появился то не так что-бы давно буквально несколько дней... -- With Best, | http://www.excom.spb.su/~andrey Andrey Chernomyrdin | mailto:[EMAIL PROTECTED]
