![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
chkrootkit http://www.ep.sci.hokudai.ac.jp/~epcore/manage/csirt/howto/chkrootkit.html#system
投稿者:alpexterm
Plamo4.02を新規にインストールして chkrootkitでチェックをしたところ、下記のような警告メッセージが出ますが皆さんのところでは問題はないでしょうか?
~# ./chkrootkit ………… Checking `lkm'... You have 4 process hidden for ps command chkproc: Warning: Possible LKM Trojan installed …
投稿者:kojima
ざっと見た感じ、chkproc でプロセス ID に出てこないプロセスが "hidden" プロセスと
見なされて Trojan ではないかとチェックされているみたいだけど、手もとで試したところでは
bash-3.00# ./chkproc -v PID 3: not in ps output PID 4: not in ps output PID 5: not in ps output PID 6: not in ps output You have 4 process hidden for ps command
という結果になり、3から6 のプロセスは
PID TTY STAT TIME COMMAND 1 ? S 0:04 init [3] 2 ? SW 0:09 [keventd] 0 ? SWN 0:00 [ksoftirqd_CPU0] 0 ? SW 31:11 [kswapd] 0 ? SW 0:00 [bdflush] 0 ? SW 0:19 [kupdated] 7 ? SW 0:00 [kreiserfsd]
ということで、カーネル内部のスレッドだから、false alarm ということで間違いないと思います。 多分、ps コマンドが古くて、カーネルの内部スレッドをプロセスとしてきちんと検出できてない (あるいは本来検出すべきでないものを検出してしまっている) のが原因じゃないかな?
