Re: lkm rootkit

To: debian-fi@fishpool.com
Subject: Re: lkm rootkit
From: Jaakko Niemi <liiwi@lonesom.pp.fi>
Date: Wed, 28 Apr 2004 07:49:52 +0300
Message-id: <[🔎] 20040428044952.GA30599@jumper.lonesom.pp.fi>
Mail-followup-to: Jaakko Niemi <liiwi@lonesom.pp.fi>, debian-fi@fishpool.com
In-reply-to: <[🔎] 200404251222.50817.tuijan@reppu.net>
References: <[🔎] 200404242217.45825.tuijan@reppu.net> <[🔎] 408AC4D4.6040507@dna.fi> <[🔎] 200404251222.50817.tuijan@reppu.net>

On Sun, 25 Apr 2004, Tuija wrote:

> On Saturday 24 April 2004 22:49, you wrote:
> > Sain samantyyppisen ilmoituksen.  Verkosta löytyi
> > viittaus http://bugs.debian.org/222179:
> >
> > That's a bug in chkrootkit. With the latest glibc and 2.6 kernel, the
> > threading model has changed. Threads no longer show up as individual
> > processes. Chkrootkit should be updated to work with the latest glibc
> > and 2.6 kernel (i.e. it should check /proc/<pid>/task too)
> >
> Kokeilin uusinta chkrootkitin sourceakin ja käänsin sen ja ./chkrootkit
> antoi saman tuloksen sekin.
> Vertasin myös ps axf tulostusta /proc numeroihin ja ne eivät täsmää.
> Onkohan mitään muita keinoja varmistua ettei tuota lkm rootkittiä ole,
> kun ei chkrootkittiin voi luottaa?

 Boottaa varmasti turvalliselta medialta (knoppix tms.) ja mounttaa
 tiedostojärjestelmä vain luettavana, ja tarkista että kerneli-imaget,
 init ja shellit sekä kirjastot ja kernelin modulit ovat sitä mitä
 pitääkin. Nuo yleisimmät rootkitit lisäävät tavaraa initin tai 
 shellien binääreihin jos meinaavat elää bootin yli.

 			--j

Reply to:

References:
- lkm rootkit
  - From: Tuija <tuijan@reppu.net>
- Re: lkm rootkit
  - From: Esa Turtiainen <etu@dna.fi>
- Re: lkm rootkit
  - From: Tuija <tuijan@reppu.net>

Prev by Date: Re: lkm rootkit
Previous by thread: Re: lkm rootkit
Index(es):
- Date
- Thread