I mitt fall visade det sig att mozilla-firefox var orsaken till två dolda processer samt oläsbara mappar.
Studera nedan: [EMAIL PROTECTED]:~$ sudo chkrootkit -x lkm ROOTDIR is `/' ### ### Output of: ./chkproc -v -v ### PID 3019: not in readdir output PID 3019: not in ps output CWD 3019: /home/xxx EXE 3019: /usr/lib/mozilla-firefox/firefox-bin PID 3020: not in readdir output PID 3020: not in ps output CWD 3020: /home/xxx EXE 3020: /usr/lib/mozilla-firefox/firefox-bin You have 2 process hidden for readdir command You have 2 process hidden for ps command (Nu stänger jag av mozilla-firefox) [EMAIL PROTECTED]:~$ sudo chkrootkit -x lkm ROOTDIR is `/' ### ### Output of: ./chkproc -v -v ### [EMAIL PROTECTED]:~$ On Mon, 20 Dec 2004 17:36:36 +0100 Linus Malmgren <[EMAIL PROTECTED]> wrote: > Uppenbarligen borde jag har lästpå lite om chkrootkit först. Fy på mig. > > Om det intresserar någon var två av processerna eggdrops vars binärfiler > hade blivit borttagna (fixat). De två andra verkar vara mysqld. Jag > provade att hämtahem debianpaketet på nytt och installera om mysqld men > chkrootkit tycker fortfarande att de är skumma. > > Tack för tipsen iaf. Även om problemen inte är helt lösta så känner jag > mig lungare iaf. =) > > /Linus > > > [EMAIL PROTECTED] wrote: > > hej > > > > > >>--- chkrootkit ger mig följande konstigheter: > >>Checking `bindshell'... INFECTED (PORTS: 60001) > >>Checking `lkm'... You have 4 process hidden for readdir command > >>You have 4 process hidden for ps command > >>Warning: Possible LKM Trojan installed? > >>--- > > > > > > chkrootkit -x lkm > > ger en lista med vilka processer det är. om det innehåller bara > > saker man har startat själv och om det finns ingen gömd > > process kvar när man avslutar alla dem, skulle nog allt vara okej, > > eller hur? > > > > /thomas > > > -- > To UNSUBSCRIBE, email to [EMAIL PROTECTED] > with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED] > >
