Possible LKM Trojan, Possible Slapper Worm
Posted: 2004-04-04 13:57
Bei mir läuft stünlich chkrootkit und sendet eine Mail, falls es was gefunden hat.
Gestern um 11 Uhr hat chkrootkit, dass hier gefunden:
Warning: Possible Slapper Worm installed
Um zwölf und später, fand chkrootkit, den Wurm hingegen nicht mehr.
Heute um 13 Uhr, und zwar nur um 13 Uhr erhielt ich dann diese Meldung:
You have 3 process hidden for readdir command:
You have 3 process hidden for ps command:
Warning: Possible LKM Trojan installed
Als ich chkrootkit danach manuell aufrief, gab es keine Fehlermeldung mehr. Auch eine frisch aus dem Netz gezogenes chkrootkit fand nichts.
Tripwire gab auch keine ungewöhnlichen Dateiveränderungen.
Wie kann ich raus finden, ob wirklich einer dieser beiden rootkits installiert ist, oder ob es sich nur um eine Falschmeldung gehalten hat?
Installierte Versionen:
SuSE Linux 8.1
OpenSSL 0.9.6g-114
Apache 1.3.26-132
Kernel: 2.4.25
Gestern um 11 Uhr hat chkrootkit, dass hier gefunden:
Warning: Possible Slapper Worm installed
Um zwölf und später, fand chkrootkit, den Wurm hingegen nicht mehr.
Heute um 13 Uhr, und zwar nur um 13 Uhr erhielt ich dann diese Meldung:
You have 3 process hidden for readdir command:
You have 3 process hidden for ps command:
Warning: Possible LKM Trojan installed
Als ich chkrootkit danach manuell aufrief, gab es keine Fehlermeldung mehr. Auch eine frisch aus dem Netz gezogenes chkrootkit fand nichts.
Tripwire gab auch keine ungewöhnlichen Dateiveränderungen.
Wie kann ich raus finden, ob wirklich einer dieser beiden rootkits installiert ist, oder ob es sich nur um eine Falschmeldung gehalten hat?
Installierte Versionen:
SuSE Linux 8.1
OpenSSL 0.9.6g-114
Apache 1.3.26-132
Kernel: 2.4.25