On 2003.12.04 at 22:33:38 +0300, Andrey Chernomyrdin wrote: > Hi! > > Вот тут на одной из машин кажется rootkit, хотелось-бы проконсультироватся... > просто проверка: > You have 4 process hidden for ps command >
Как однако взлом дебиановских серверов всех напугал! Я тут тоже себе chkrootkit поставил, и ядро сейчас собираю посредством наложения 2.4.23-го патча с kernel.org на дебиановский kernel-source-2.4.22. Не собралось однако. Если завтра packages.debian.org не подымется, придется ручками по режектам лазить. Или проще взять upstream sources и наложить на них ACPI-патч посвежее? > root 0 0.0 0.0 0 0 ? SWN 23:56 0:00 > [ksoftirqd_CPU0] > root 0 0.0 0.0 0 0 ? SW 23:56 0:00 [kswapd] > root 0 0.0 0.0 0 0 ? SW 23:56 0:00 [bdflush] > root 0 0.0 0.0 0 0 ? SW 23:56 0:00 [kupdated] Вот они родимые. Все четыре. Кернельные нити это. Это известная паранойя chkrootkit-а, что он кернельные нити за трояна держит. У меня их вообще семь. Поскольку ksoftirqd положен на каждый логический процессор свой. А на двухпроцессорной машине с HyperThreading этих процессоров соотвественно, четыре. >
