Warning: Possible LKM Trojan installed

Dieses Thema im Forum "Anwendungen" wurde erstellt von PMB, 29.03.2007.

  1. PMB

    PMB Grünschnabel

    Dabei seit:
    15.03.2007
    Beiträge:
    3
    Zustimmungen:
    0
    Ort:
    Duisburg
    Hallo,
    ich habe folgendes Problem:
    Debian Sarge mit VHCS2

    chkrootkit gibt mir folgende Meldung aus:
    Checking `sshd'... /usr/bin/strings: Warning: '/' is not an ordinary file
    not infected
    ...
    Checking `lkm'... You have 11 process hidden for readdir command
    You have 22 process hidden for ps command
    Warning: Possible LKM Trojan installed
    ...

    Ich habe zu der Meldung "Warning: Possible LKM Trojan installed" bisher nur folgende oder ähnliche Aussagen gefunden:
    "das brauchst Du wohl nicht so ernst zu nehmen.
    Scheint ein Fehler von chkrootkit zu sein. Diese Meldung haben schon viele
    moniert und jedesmal hat sich das ganze als Fehler rausgestellt."

    Vom Server sind jedoch ssh brute-force atacken ausgegangen, von denen ich den Ursprung noch nicht aus, machen konnte. Ich vermute daher, dass es etwas mit der Meldung zu tun hat :(
     
  2. Anzeige

    Schau dir mal diese Kategorie an. Dort findest du bestimmt etwas.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. #2 supersucker, 29.03.2007
    supersucker

    supersucker Foren Gott

    Dabei seit:
    21.02.2005
    Beiträge:
    3.873
    Zustimmungen:
    0
    Wo ist die Frage?

    Einzigste Lösung -> Server plattmachen und neu aufsetzen.

    Es gibt keine Alternative dazu.
     
  4. PMB

    PMB Grünschnabel

    Dabei seit:
    15.03.2007
    Beiträge:
    3
    Zustimmungen:
    0
    Ort:
    Duisburg
    ich dachte eigendlich eher an eine Lösung wie ich den Trojaner hoffentlich sauber von dem Server bekomme.
     
  5. #4 supersucker, 29.03.2007
    supersucker

    supersucker Foren Gott

    Dabei seit:
    21.02.2005
    Beiträge:
    3.873
    Zustimmungen:
    0
    Es gibt - natürlich - keine andere Lösung.

    Sogar wenn du wüßtest welcher Trojaner das ist und wie du ihn vom System bekommen könntest, woher willst du wissen was der Trojaner noch so alles auf dem Server installiert hat?

    Und sogar wenn du das wüßtest, könntest du dir nie sicher sein.
     
  6. PMB

    PMB Grünschnabel

    Dabei seit:
    15.03.2007
    Beiträge:
    3
    Zustimmungen:
    0
    Ort:
    Duisburg
    OK, da hast du natürlich recht ;(
    dann bleibt mir ja keine andere Möglichkeit über.
    thx
     
  7. moev

    moev Eroberer

    Dabei seit:
    02.03.2007
    Beiträge:
    63
    Zustimmungen:
    0
    gibed kei virenscanner fuer das vieh ?
     
  8. #7 supersucker, 29.03.2007
    supersucker

    supersucker Foren Gott

    Dabei seit:
    21.02.2005
    Beiträge:
    3.873
    Zustimmungen:
    0
    Gut, das du weißt wovon du sprichst. Oder?
     
  9. Anzeige

    Vielleicht findest du HIER Antworten.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  10. #8 slash-ex, 29.03.2007
    slash-ex

    slash-ex Doppel-As

    Dabei seit:
    04.10.2006
    Beiträge:
    130
    Zustimmungen:
    0
    virenscanner sind keine lösung.
     
  11. #9 grey, 29.03.2007
    Zuletzt bearbeitet: 29.03.2007
    grey

    grey -=[GHOST]=-

    Dabei seit:
    28.07.2006
    Beiträge:
    303
    Zustimmungen:
    0
    Ich kenne das Problem -> vServer und chkrootkit.

    Meines Wissens, liegt es daran, daß das Verzeichnis /proc beim vServer vom Host-System quasi gelinkt wird und dies dazu führen kann, daß auch Verzeichnisse unter /proc aufgeführt werden, die eigentlich dem Host-System gehören.
    Lass doch mal zur Sicherheit einen anderen rootkit-Check laufen (z.B. rkhunter).
    Ich bin mir zu 90% sicher, daß dieser nix findet.
    Sollte allerdings auch der zweite Scanner etwas finden, dann wäre ein "neu aufsetzen" wahrscheinlich angebracht.

    Eine weitere Möglichkeit wäre der Einsatz eines Portscan-Detektors (z.B. portsentry). In diesem Zusammenhang sind bereits False-Positive-Scans bekannt. Schau dir dazu mal diesen Link an. Vielleicht hilft das ja weiter.
     
Thema:

Warning: Possible LKM Trojan installed

Die Seite wird geladen...

Warning: Possible LKM Trojan installed - Ähnliche Themen

  1. rkhunter warning: sash

    rkhunter warning: sash: Moin, mein rkhunter bringt immer folgende Warnung: [22:35:44] Checking for root equivalent (UID 0) accounts [ Warning ] [22:35:44] Warning:...
  2. Kontrollfluss warning, wie entfernen?

    Kontrollfluss warning, wie entfernen?: Hi @ all! Ich hab heute damit begonnen in C zu programmieren, nicht nur aus freien Stücken, sondern eben für die Uni... ;) Naja jedenfalls...
  3. Function Pointer + Strange Compiler Warning

    Function Pointer + Strange Compiler Warning: Moechte die Adresse einer Fkt an eine andere Fkt weiterreichen, und zwar ueber eine Fkt hinaus. Funktioniert soweit, aber ich wundere mich ueber...
  4. Warning: mkdir() [function.mkdir]: SAFE MODE Restriction in effect. ?

    Warning: mkdir() [function.mkdir]: SAFE MODE Restriction in effect. ?: Hey, ich bau mit @->- verschiedene Foren und 1 wiki auf. Weswegen php in Safe Mode läuft. Jetzt hab ich Mediawiki eingerichtet usw. Ich - bzw...
  5. Und täglich ärgert mich mein Linux: SuSEfirewall2: Warning: no interface active

    Und täglich ärgert mich mein Linux: SuSEfirewall2: Warning: no interface active: Hallo zusammen, habe gerade mein OpenSuse 10.2 aktualisiert und dann das beim starten. ---------- Starting Firewall Initialization (phase 2 of...