Pomocy - Trojan!

[Bawetta]

Witam.

Spotkałomnie to po0 razpierwszy i nie wiem co robić.

Wynik komendy chkrootkit:

 

Checking `lkm'... find: ‘/proc/19526’: Nie ma takiego pliku ani katalogu

find: ‘/proc/19527’: Nie ma takiego pliku ani katalogu

find: ‘/proc/19528’: Nie ma takiego pliku ani katalogu

You have     2 process hidden for readdir command

You have     2 process hidden for ps command

chkproc: Warning: Possible LKM Trojan installed

 

 

Jakieś porady?

[@WalDo]

Sprawdź

/usr/lib64/chkrootkit-0.50/chkproc -v

Powinno pokazać PID procesów ukrytych przed ps.

 

Ogólnie chkrootkit nie jest bardzo miarodajny. Często daje wyniki "false positive" i raczej bym się tym nie przejmował.

 

Możesz spróbować jeszcze sprawdzić rkhunterem.

 

[EDIT]

CHociaż ne ukrywam, że u mnie (F20, aktualna) takich komunikatów nie ma. Nie mam jednak uruchomionych żadnych procesów typu właśnie clamav.

[Bawetta]

Zauktualizowałam system i problem zniknął. Sama nie wiem, co o tym myśleć. 

[@WalDo]

Nie myśl Po prostu chkrootkit czasem tak ma.

Jeśli już chcesz się posługiwać takimi narzędziami, to lepszy jest rkhunter, ktory buduje sobie bazę z która porównuje wyniki. Oczywiście zbudowanie bazy musi się odbyć na pewnym, nienaruszonym systemie.

Jeśli obawiasz się jakichkolwiek ataków, trojanów itp, to nie wyłączaj SElinux i zapoznaj się z jego działaniem. To pewniejsze i solidniejsze rozwiązanie niż skanery typu chkrootkit (czy to w ogóle jeszcze jest rozwijane czy tylko ktoś paczki przebudowuje?).

[Bawetta]

SElinux też jest.

W zasadzie to chkrootkit użyłamdlasprawdzenia jak to działa. Raz, drugi, trzeci, i nagle wyszedł zonk. To się przestraszyłam trochę.

Do rkhuntera muszę manuala poczytać a nie mam czasu chwilowo.

[@WalDo]

Do rkhuntera muszę manuala poczytać a nie mam czasu chwilowo.

Wg mnie nie warto chyba nawet poświęcać czasu na czytanie

[Miszcz]

Wtrącę się do dyskusji. Bawetta dopóki nie instalujesz programów z nieznanych źródeł, dzikich repo ani nie "nadużywasz" konta root, to twój system powinien być w pełni bezpieczny. Po prostu przestrzegaj fundamentalnych zasad użytkowania Linucha i programy typu chrootkit nie będą ci potrzebne.

No i aktualizuj od czasu do czasu system

[Subaru]

Różnica w codziennej pracy typowych użytkowników systemów powoduje tak na oko 75% problemów w "tym drugim":
- Codzienna praca na Linuksie (Fedora) - zwykły użytkownik bez praw wykonawczych

- Codzienna praca na Wingrozie - niby zwykły użytkownik ale z 99% uprawnień administratora

Ufam, że nie muszę rozrysowywać tego na diagramie?

Ubaw miałem jak mnie ochrzaniono o to, że na laptopie komuś z rodziny pozmieniałem tak, by pracował na koncie naprawdę zwykłym na codzień i by o byle co wołał admina...meh przynajmniej system wciąż działa...

 

P.S. - SELinux the "you shall not pass" Golem

[Bawetta]

Pracuję na zwykłym koncie, update jest pierwszą czynnością po włączeniu maszyny. Dzikich repo też raczej nie używam i stąd moje zdziwienie i zaniepokojenie.

[Miszcz]

No to nie masz czego się obawiać, widocznie to był false alarm