Ich braeuchte mal Hilfe von einem Linux-Experten (mbroemme? )
Ich habe einen VSERVER (RootDS) mit dem eigentlich alles prima klappt.
Letzthin beim Durchlaufen des chkrootkit ist mir folgendes mit Schrecken
aufgefallen:
Checking `lkm'... You have 1 process hidden for readdir command
You have 1 process hidden for ps command
Warning: Possible LKM Trojan installed
Ich habe dann einen "chkrootkit -x LKM" gestartet mit folgendem Ergebnis:
ROOTDIR is `/'
###
### Output of: ./chkproc -v -v -p 2
###
CWD 24125: /var/lib/mysql
EXE 24125: /usr/sbin/mysqld
CWD 24127: /var/lib/mysql
EXE 24127: /usr/sbin/mysqld
CWD 24128: /var/lib/mysql
EXE 24128: /usr/sbin/mysqld
CWD 24129: /var/lib/mysql
EXE 24129: /usr/sbin/mysqld
CWD 24134: /var/lib/mysql
EXE 24134: /usr/sbin/mysqld
CWD 24135: /var/lib/mysql
EXE 24135: /usr/sbin/mysqld
CWD 24140: /var/lib/mysql
EXE 24140: /usr/sbin/mysqld
CWD 24141: /var/lib/mysql
EXE 24141: /usr/sbin/mysqld
PID 30187(/proc/30187): not in readdir output
PID 30187: not in ps output
CWD 30187: /
EXE 30187: /sbin/init
You have 1 process hidden for readdir command
You have 1 process hidden for ps command
Sehr auffaellig, denke ich mir. Der erste Gedanke ist natuerlich, dass der Server gehackt wurde. Die Kiste ist aber recht dicht (wenige Dienste, Zugang nur per SSH mit Key-Authentifizierung, usw.), aber das muss ja nichts heissen. MySQL habe ich z.B. mal weggeputzt, womit natuerlich die chkrootkit-Meldungen diesbezueglich weg waren, aber nach einem frischen Installieren waeren sie wie zuvor da (-> Fehlalarm von chkrootkit?).
Beim weiteren rumsuchen ist mir dann aufgefallen, dass gar keine Module
geladen sind. Mach man z.B. ein "lsmod" erhaelt man:
Module Size Used by Tainted: P
lsmod: QM_MODULES: Function not implemented
Kann mir jemand sagen, was hier los ist oder Tipps was ich machen koennte, z.B. um mehr zu erfahren?
Danke fuer jeden Tipp!
Ich habe einen VSERVER (RootDS) mit dem eigentlich alles prima klappt.
Letzthin beim Durchlaufen des chkrootkit ist mir folgendes mit Schrecken
aufgefallen:
Checking `lkm'... You have 1 process hidden for readdir command
You have 1 process hidden for ps command
Warning: Possible LKM Trojan installed
Ich habe dann einen "chkrootkit -x LKM" gestartet mit folgendem Ergebnis:
ROOTDIR is `/'
###
### Output of: ./chkproc -v -v -p 2
###
CWD 24125: /var/lib/mysql
EXE 24125: /usr/sbin/mysqld
CWD 24127: /var/lib/mysql
EXE 24127: /usr/sbin/mysqld
CWD 24128: /var/lib/mysql
EXE 24128: /usr/sbin/mysqld
CWD 24129: /var/lib/mysql
EXE 24129: /usr/sbin/mysqld
CWD 24134: /var/lib/mysql
EXE 24134: /usr/sbin/mysqld
CWD 24135: /var/lib/mysql
EXE 24135: /usr/sbin/mysqld
CWD 24140: /var/lib/mysql
EXE 24140: /usr/sbin/mysqld
CWD 24141: /var/lib/mysql
EXE 24141: /usr/sbin/mysqld
PID 30187(/proc/30187): not in readdir output
PID 30187: not in ps output
CWD 30187: /
EXE 30187: /sbin/init
You have 1 process hidden for readdir command
You have 1 process hidden for ps command
Sehr auffaellig, denke ich mir. Der erste Gedanke ist natuerlich, dass der Server gehackt wurde. Die Kiste ist aber recht dicht (wenige Dienste, Zugang nur per SSH mit Key-Authentifizierung, usw.), aber das muss ja nichts heissen. MySQL habe ich z.B. mal weggeputzt, womit natuerlich die chkrootkit-Meldungen diesbezueglich weg waren, aber nach einem frischen Installieren waeren sie wie zuvor da (-> Fehlalarm von chkrootkit?).
Beim weiteren rumsuchen ist mir dann aufgefallen, dass gar keine Module
geladen sind. Mach man z.B. ein "lsmod" erhaelt man:
Module Size Used by Tainted: P
lsmod: QM_MODULES: Function not implemented
Kann mir jemand sagen, was hier los ist oder Tipps was ich machen koennte, z.B. um mehr zu erfahren?
Danke fuer jeden Tipp!