Code: Select all
Checking `lkm'... You have 1 process hidden for readdir command
You have 1 process hidden for ps command
Warning: Possible LKM Trojan installed
Ja, es handelt sich um einen Vserver von webperoni. Ich werde da mal nachfragen.Ist das ein vserver oder ein dedicated Server?
Bei vservern ist diese Meldung anscheinend normal. (war jedenfalls bei mir von Anfang an so und der Provider bestätigte das)
Wenn es ein dedicated ist, geh ins rescue System und scanne nochmal von dort aus den Server.
"tiger" habe ich nochinstalliert.denyhosts installiert? andere security-tools?
Da es sich um einen Vserver handelt hab ich selbst doch gar keine Kernelmodule.LKM ist doch glaub ich ein Kernelmodul und du solltest die /etc/modules checken. lsmod wird wahrscheinlich infiziert sein, von daher ist das relativ schwierig alles von Ihm zu finden, er wiedersetzt sich glaub ich sogar einem cat /etc/modules. Neuaufsetzen wäre intelligenter. Hier wäre eine Methode Ihn zu beseitigen, aber ohne gewähr und du solltest mehr als nur das Verwenden. Im Rescuemode fahren und ein hashvergleich der Dateien machen wenn du einen angelegt hast, ansonsten einfach unter "Shit happend" verbuchen und nach dem neuaufsetzen besser machen.
der "normale" oder der RootDS?darkiop wrote:a, es handelt sich um einen Vserver von webperoni.
Wenn es sich um eine Vservervariante ohne eigenen Kernel handelt (sind die meisten), dann kannst Du kein LKM-Rootkit draufhaben.Da es sich um einen Vserver handelt hab ich selbst doch gar keine Kernelmodule.
Danach als allererstes Chkrootkit installieren und laufen lassen, dann weißt Du welche Falschmeldungen normal sind.Bevor ich ihn beseitige, setz ich den Server lieber nochmal neu auf.