Lkm Trojan ?

[danj]

Witam.

 

Chkrootkit wywala mi cos takiego:

 

> Checking `lkm'... You have 13 process hidden for readdir command You

> have 13 process hidden for ps command Warning: Possible LKM Trojan

> installed

 

Z tego co sie doczytalem to czesto chodzi o niewinne programy typu jakies

locale do firefoxa itp( akurat nie uzywam), przede wszystkim nie wiem jak

sie dobrac do tych ukrytych procesow, jak je wylistowac itp.

 

Wczoraj jeszcze rkhunter nie zglaszal problemow a dzisiaj po odpaleniu:

 

>---------------------------- Scan results ----------------------------

>

>MD5

>MD5 compared: 40

>Incorrect MD5 checksums: 37 (wc zoraj jesio bylo ok, cos tam

> (updatowalem, ale chyba nic wielkiego szczogoly zalaczylem na koncu)

>file scan

>Scanned files: 328

>Possible infected files: 0

>

>Application scan

>Vulnerable applications: 1 (tu sie czepia do OpenSSL 0.9.7a, to

> najnowsza wersja jaka moge sciagnac apt'em)

>Scanning took 127 seconds

>Scan results written to logfile (/var/log/rkhunter.log)

 

Jako ze nie jestem dosyc zielony w administracji linuxem, uzywam glownie

jako platforme do towrzenia kodu w php+apache plus czasem java. Chodzi

caly czas Firestarter ktory blokuje wszystkie porty, natomiast wczoraj sie

zorientowalem ze mialem uruchamiany serwer open-ssh, choc nie przypominam

sobie zebym go uruchamial, znalazlem tez cyklicznie wystepujace logi chyba

dotyczase tego serwa:

 

>Oct 25 11:34:57 227-dz2-5 sshd[3062]: Server listening on :: port 22.

>Oct 25 11:34:57 227-dz2-5 sshd[3062]: error: Bind to port 22 on 0.0.0.0

>failed: Address already in use.

 

Ten wpis sie cyklicznie powtarza co jakis czas, chyba przy starcie systemu

 

Bede bardzo wdzieczny za wszelka pomoc i rady co dalej z tym robic, czy

panikuje czy zalapalem jakies swinstwo ?? :shock:

 

pozdrawiam DanJ

 

 

P.S.Szczegoly tych 37 incorect md5 checksumow:

 

/usr/sbin/prelink: /usr/bin/find: at least one of file's dependencies has

changed since prelinking

/usr/bin/find [ BAD ]

/usr/sbin/prelink: /usr/bin/file: at least one of file's dependencies has

changed since prelinking

/usr/bin/file [ BAD ]

 

.... i tak dalej, w sumie 37 razy

--------------------------------------------------------------------------------

Rootkit Hunter found some bad or unknown hashes. This can be happen due

replaced binaries or updated packages (which give other hashes). Be sure

your hashes are fully updated (rkhunter --update). If you're in doubt

about these hashes, contact the author (fill in the contact form).

--------------------------------------------------------------------------------

[McGiwer]

Mysle, ze powinienes zajrzec tu: http://www.google.com/linux?hl=en&lr=&q=LK...G=Google+Search