Radu, fa faza cu kernelu despre care am zis eu ia ultimele surse de kernel 2.4.21 de pe net direct, si compileaza-l cu tot ce ai nevoie dar fara suport de module si eventual dupa ce ai facut faza asta, ia un rpm curat ce continte: ps, pstree, netstat, w, who, fuser, .... cred ca ar fi bine sa le iei si pe alea de retea: ifconfig, route si vezi daca nu ai cumva procese sau porturi care nu le vedeai pana acuma
mai fa si asa: pune in syslogd.conf sa logheze *.* intr-un fisier si dupa reboot uita-te daca nu cumva iti pune vre-o interfata de retea in promisc, daca ai asa ceva, poate e vre-un sniffer sau ceva :) multa bafta Friday, July 18, 2003, 5:09:55 PM, you wrote: RB> SO: RedHat 9 RB> Kernel: 2.4.20-8 RB> chkrootkit version 0.35 arata ca sunt infectat RB> ( RB> ftp://blackblue.iasi.rdsnet.ro/pub/linux/chkrootkit/chkrootkit.tar.gz ) RB> chkrootkit version 0.41 arata ca sunt curat RB> ( ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz ) RB> Dezavantaje: Sistem Fara Floppy/CD-Rom (instalare prin FTP, numai RB> eu stiu cat a durat :(( ) RB> Nu sunt inca lamurit ce si cum m-a infectat in cazul in care sunt RB> infectat, as reinstala sistemul, dar imi pun intrebarea, daca dupa RB> asta ma infectez la loc nestiind de unde provine LKM Trojan, in RB> principiu doar eu am acces la server... RB> De aceea caut alte utilitare similare cu chkrootkit in prezent RB> sansele sunt 50% de a fi sau nu infectat si am nevoie de ceva care RB> sa rupa echilibrul asta RB> Cu respect, RB> Radu B. RB> ------------------------------------------------------- RB> WEBcast Media - www.webcast.ro RB> ----- Original Message ----- RB> From: "Knight" <[EMAIL PROTECTED]> RB> To: "Radu Bighiu" <[EMAIL PROTECTED]> RB> Sent: Friday, July 18, 2003 4:28 PM RB> Subject: [rlug] Re: LKM Trojan installed >> Radu, >> >> uite o varianta care iti mere sigur si le dai in gura la RB> modulele >> alea, dar nu inseamna ca daca ai alte programe patchuite (al RB> de ps, >> netstat, pstree...) va functiona >> >> recompilezi kernelul, iti pui buildin la tot ce iti trebuie si RB> faci >> kernelu monolitic, adica fara suport de module, si atunci o sa RB> vezi >> la initializarea systemului daca incearca sa iti bage module RB> care nu >> ar trebui sa existe... >> >> by the way ce linux ai? (adica ce distributie, si ce kernel) >> >> >> Friday, July 18, 2003, 1:06:08 AM, you wrote: >> >> RB> Mi-a dat infected cu chkrootkit version 0.35 acu am luat >> RB> chkrootkit-0.41 si par "curat" mai exista alta posibilitate RB> de a >> RB> verifica daca sunt "curat" sau nu? >> >> RB> Am RedHat9 >> >> RB> Cu respect, >> RB> Radu B. >> RB> ------------------------------------------------------- >> RB> WEBcast Media - www.webcast.ro >> >> >> >> >> Best regards, >> =-=-=-=-=-=-=-=-=-=-=-=-=-= >> = Ovidiu Torsan = >> = [EMAIL PROTECTED] = >> =-=-=-=-=-=-=-=-=-=-=-=-=-= >> >> Best regards, =-=-=-=-=-=-=-=-=-=-=-=-=-= = Ovidiu Torsan = = [EMAIL PROTECTED] = =-=-=-=-=-=-=-=-=-=-=-=-=-=
