免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
论坛 备份版区 攻防交流区 大家帮我看看我是否中了 LKM Trojan木马
12下一页
最近访问板块 发新帖
查看: 4604 | 回复: 10
打印 上一主题 下一主题

大家帮我看看我是否中了 LKM Trojan木马 [复制链接]

lues

论坛徽章:
0
跳转到指定楼层
1 [收藏(0)] [报告]
发表于 2005-02-18 14:10 |只看该作者 |正序浏览
我装了chkrootkit\r\n在用第一次的时候有如下报告:\r\n\r\n\r\n
  1. Checking `lkm\'... You have     3 process hidden for readdir command           #是否有可能中了Trojan\r\nYou have     3 process hidden for ps command\r\nWarning: Possible LKM Trojan installed\r\nChecking `sniffer\'... eth0: PF_PACKET(/usr/local/bin/snort) #我本机装了snort
复制代码
\r\n\r\n我第一次以后的报告就一切正常,没有出现Warning: Possible LKM Trojan installed提示,报告如下:\r\n\r\n
  1. Checking `lkm\'... nothing detected\r\nChecking `sniffer\'... eth0: PF_PACKET(/usr/local/bin/snort)\r\n
复制代码
\r\n\r\n这两次的报告不一样,搞得我稀里糊涂的,一个报告说有木马,一个报告说没有\r\n请问我是不是有可能中了Trojan,如果中了,该怎么清除
lues

论坛徽章:
0
11 [报告]
发表于 2005-02-25 14:37 |只看该作者

大家帮我看看我是否中了 LKM Trojan木马

请问module_hunter.c如何用对应的kernel include<>; 编译?\r\n是把kernel include<>;代码放到module_hunter.c源代码里面吗?\r\n用gcc -o module_hunter.o module_hunter.c就可以了吗?\r\n\r\n不好意思,我没有用过gcc编译过c程序,所以再次请教
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
lues

论坛徽章:
0
10 [报告]
发表于 2005-02-22 17:34 |只看该作者

大家帮我看看我是否中了 LKM Trojan木马

原帖由 \"ayazero\" 发表:\nmodule_hunter.c是c的源文件,不是系统自带的,需要去linuxforum.net上找\r\n\r\n用对应的kernel include<>; 编译过后才是.o(kernel v24)内核模块,才能被insmod,然后才有下文\r\n\r\n看了你贴的那些真不知道说什么好,..........
\r\n\r\n    \r\n不好意思,是我不了解嘛
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
ayazero

论坛徽章:
0
9 [报告]
发表于 2005-02-22 17:32 |只看该作者

大家帮我看看我是否中了 LKM Trojan木马

module_hunter.c是c的源文件,不是系统自带的,需要去linuxforum.net上找\r\n\r\n用对应的kernel include<>; 编译过后才是.o(kernel v24)内核模块,才能被insmod,然后才有下文\r\n\r\n看了你贴的那些真不知道说什么好,大概也只有对着客户才有这种耐心
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
lues

论坛徽章:
0
8 [报告]
发表于 2005-02-22 13:58 |只看该作者

大家帮我看看我是否中了 LKM Trojan木马

我没有这个模块,是不是要 重新编译内核亚\r\n\r\n
  1. [root@test2 root]# insmod module_hunter.c\r\ninsmod: module_hunter.c: No such file or directory\r\n[root@test2 root]# find / -name \'*module_hunter.c*\'\r\n[root@test2 root]# find / -name \'*module*.c\'\r\n/usr/src/linux-2.4.21-20.EL/arch/arm/nwfpe/fpmodule.c\r\n/usr/src/linux-2.4.21-20.EL/arch/ia64/sn/io/module.c\r\n/usr/src/linux-2.4.21-20.EL/arch/ia64/sn/io/sn1/module.c\r\n/usr/src/linux-2.4.21-20.EL/arch/ia64/sn/io/sn2/module.c\r\n/usr/src/linux-2.4.21-20.EL/drivers/addon/cipe/module.c\r\n/usr/src/linux-2.4.21-20.EL/drivers/isdn/act2000/module.c\r\n/usr/src/linux-2.4.21-20.EL/drivers/isdn/pcbit/module.c\r\n/usr/src/linux-2.4.21-20.EL/drivers/scsi/scsi_module.c\r\n/usr/src/linux-2.4.21-20.EL/kernel/module.c\r\n[root@test2 root]# cat /proc/showmodules && dmesg \r\ncat: /proc/showmodules: 没有那个文件或目录\r\n[root@test2 root]#
复制代码
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
ayazero

论坛徽章:
0
7 [报告]
发表于 2005-02-22 10:34 |只看该作者

大家帮我看看我是否中了 LKM Trojan木马

少打了几个字:)不是hunt,那个是会话劫持工具\r\n\r\nmodule_hunter.c编译后是内核模块,insmod之后\r\n\r\ncat /proc/showmodules && dmesg\r\n\r\n在输出的最后可以看到所有被加载到内核的模块,包括被隐藏的LKM rootkit(如果有的话),再看一下lsmod你就知道有没有了
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
lues

论坛徽章:
0
6 [报告]
发表于 2005-02-21 19:47 |只看该作者

大家帮我看看我是否中了 LKM Trojan木马

原帖由 \"ayazero\" 发表:\nkstat v24在kernel -2.4.18之后的版本都会编译出错的\r\n\r\n用module_hunter吧
\r\n\r\nhunt这个工具我装了,但是不大会用,能否给两个hunt和module_hunter如何使用的连接,(偶用google搜过了,都是说得比较简单,module_hunter怎么使用都只提了一下)
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
ayazero

论坛徽章:
0
5 [报告]
发表于 2005-02-21 17:06 |只看该作者

大家帮我看看我是否中了 LKM Trojan木马

kstat v24在kernel -2.4.18之后的版本都会编译出错的\r\n\r\n用module_hunter吧
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
lues

论坛徽章:
0
4 [报告]
发表于 2005-02-21 13:41 |只看该作者

大家帮我看看我是否中了 LKM Trojan木马

原帖由 \"ayazero\" 发表:\n装对应Linux-`uname -r`的kernel src rpm包\r\n/usr/src/linux目录只是个连接\r\n直接修改Makefile的-I参数后面的参数为 /usr/src/linux-2.4.xx\r\n\r\n现在还是用hunt吧,这个工具去www.linuxforum.net的系统安全版看看
\r\n\r\n改了也不行\r\n\r\n我的uname -r如下\r\n[root@game 2.4]# uname -r\r\n2.4.21-20.ELsmp\r\n但是/usr/src目录下没有2.4.21-20.ELsmp这个目录,我就用2.4.21-20.EL目录代替了但是还是不行\r\n[root@game 2.4]# ls /usr/src\r\ndebug  linux-2.4  linux-2.4.21-20.EL  redhat\r\n\r\n
  1. gcc -O2 -Wall -Werror -I./include/ -I/usr/src/linux-2.4.21-20.EL/include -c ./src/procex.c \r\ncc1: warnings being treated as errors\r\nIn file included from /usr/src/linux-2.4.21-20.EL/include/linux/swap.h:6,\r\n                 from /usr/src/linux-2.4.21-20.EL/include/linux/mm.h:31,\r\n                 from /usr/src/linux-2.4.21-20.EL/include/linux/slab.h:14,\r\n                 from /usr/src/linux-2.4.21-20.EL/include/linux/proc_fs.h:5,\r\n                 from ./src/procex.c:23:\r\n/usr/src/linux-2.4.21-20.EL/include/linux/brlock.h:88: warning: `always_inline\' attribute directive ignored\r\n/usr/src/linux-2.4.21-20.EL/include/linux/brlock.h:101: warning: `always_inline\' attribute directive ignored\r\n/usr/src/linux-2.4.21-20.EL/include/linux/brlock.h:171: warning: `always_inline\' attribute directive ignored\r\n/usr/src/linux-2.4.21-20.EL/include/linux/brlock.h:179: warning: `always_inline\' attribute directive ignored\r\nmake: *** [kstat] Error 1
复制代码
\r\n\r\nwww.linuxforum.net这个坛子现在好冷亚
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
ayazero

论坛徽章:
0
3 [报告]
发表于 2005-02-21 13:16 |只看该作者

大家帮我看看我是否中了 LKM Trojan木马

装对应Linux-`uname -r`的kernel src rpm包\r\n/usr/src/linux目录只是个连接\r\n直接修改Makefile的-I参数后面的参数为 /usr/src/linux-2.4.xx\r\n\r\n现在还是用hunt吧,这个工具去www.linuxforum.net的系统安全版看看
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
12下一页
返回列表 发新帖
  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP