Hallo,
als ich eben mal Routinemäßig chkrootkit ausgeführt habe, sind mir 2 Warnungen aufgefallen, einmal eine wg. des Scalper Wurms, die andere warnte mich vor einem evtl. installiertem LKM-Rootkit.
Beim durchgucken der Prozesse fiel mir der noch laufende VDR auf, den ich testweise beendete. Anschließend waren beide Warnungen weg.
Als ich anschließend erneut VDR startete um zu gucken, obs daran lag, erschienen beide Meldungen wieder.
Hat jmd. ähnliche Erfahrungen gemacht ?
-
-
Ich habe das paket mal eben bei mir installiert, er hat aber nichts angemerkt (vdr läuft).
chkrootkit version 0.43
-
@Cyberdemon
Hallo!
Bei mir klingeln auch die Alarmglocken!
Das gleiche wie bei Dir.
Was nun? Wie geht man jetzt am besten vor?
Ich werd mal alle Plugins deaktivieren und dann mal schaun. -
Das liegt an Port 2001 den auch VDRP verwendet, also keine Sorge
Einfach mal mit Option -d laufen lassen.steffen
-
-
Die LKM-Rootkitwarnung wird anscheinend wg. versteckter Prozesse vom VDR ausgelöst (übriggebliebene PIDs unter /proc ?).
Wobei ich dann nicht verstehe, wieso die auf einmal weg sind, wenn ich den VDR beende. Die gehören aber eindeutig zum VDR (hab mir mal die /proc/nummer/cmdline anzeigen lassen). -
Warum habe ich das nicht? Ich habe auch den Port offen und habe vdr laufen.
Muß vdr etwas bestimmtes machen? Lange gelaufen sein? Aufnehmen?
Oder ist meine roottoolkit-Version zu alt? (oder gar zu neu?)
*verwirrt ist* -
Hmm, eigentlich hab ich nichts besonderes gemacht.
Dadurch, daß die Anzahl der pid Files im vom ps Kommando
abweichen tritt die lkm Warnung auf.
Die scalper Warnung bekomme ich, wenn eben der 2001 udp auf ist.
Achja, ich hab vdr in einer "screen" Sitzung laufen, in der ich ein
su vdr abgesetzt hatte.
Chkrootkit ist die neueste tasting Version (0.43). -
Ad "versteckter prozesse", ich würde mal in Thread.c
if (!running) {
running = true;
parentTid = pthread_self();
pthread_create(&childTid, NULL, (void *(*) (void *))&StartThread, (void *)this);
XXX pthread_detach(childTid);
pthread_setschedparam(childTid, SCHED_RR, 0);
usleep(10000); // otherwise calling Active() immediately after Start() causes a "pure virtual method called" error
}die mit XXX markierte Zeile einfügen.
Unter 2.6.x führt das sonst zu einem ordentlichen Memory leak da die Threads die vdr startet nicht mehr richtig beendet werden.
Vermutlich kommt der Alarm wegen dieser zombies.
mfg
-
hast du die änderung auch schon an klaus geschickt?
cu atosch
-
Zitat
Original von atosch
hast du die änderung auch schon an klaus geschickt?cu atosch
In der ML gab es einmal einen diff zu einem Memory-Leak unter 2.6.x, ich vermute das es dann genau das hier war.
Klaus hatte geschrieben, dass er beim 1.3.6 vergessen hatte aber es bei der nächsten Version sofort einbaut. -
Zitat
Original von Torsten/WarEagle
In der ML gab es einmal einen diff zu einem Memory-Leak unter 2.6.x, ich vermute das es dann genau das hier war.
Klaus hatte geschrieben, dass er beim 1.3.6 vergessen hatte aber es bei der nächsten Version sofort einbaut.Yepp, ist genau dieser.
mfg
Jetzt mitmachen!
Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!