| View previous topic :: View next topic |
| Author |
Message |
ciro64
Guru
Joined: 20 Jun 2009
Posts: 424
|
 Posted: Sun Jul 04, 2010 11:39 am Post subject: [risolto] chkrootkit: messaggio "sospetto" |
 |
|
Ciao e Buona Domanica;
premetto che son molto "pollo" riguardo questi argomenti.
dunque: ho voluto fare una scansione con chkrootkit; pare tutto ok tranne il seguente messaggio:
| Code: |
chkdirs: Warning: Possible LKM Trojan installed
|
Che peso devo dare a questo warning ?
C'è modo di "affinare" la ricerca ?
mentre, con rkhunter e clamav, nulla da dover segnalare.
Grazie.
_________________
Gentoo: il sistema più eclettico e geniale che abbia mai provato 
Last edited by ciro64 on Wed Jul 07, 2010 10:34 pm; edited 1 time in total |
|
| Back to top |
|
 |
djinnZ
Advocate
Joined: 02 Nov 2006
Posts: 4831
Location: somewhere in L.O.S.
|
| Posted: Mon Jul 05, 2010 4:29 pm Post subject: |
|
|
Una rapida ricerca in rete lo evidenzia come possibile bug
_________________
scita et risus abundant in ore stultorum sed etiam semper severi insani sunt
mala tempora currunt...mater stultorum semper pregna est 
Murpy'sLaw:If anything can go wrong, it will - O'Toole's Corollary:Murphy was an optimist |
|
| Back to top |
|
|
ciro64
Guru
Joined: 20 Jun 2009
Posts: 424
|
| Posted: Mon Jul 05, 2010 6:43 pm Post subject: |
|
|
Ok; anch'io ho letto qualche discussione in rete che considera questo warning come una sorta di "falso positivo".
Ma.. ho preferito chiedere consigilio qui.
Quindi: "la accendiamo ?" (ovvero: posso considerare risolto ?)
Grazie
_________________
Gentoo: il sistema più eclettico e geniale che abbia mai provato |
|
| Back to top |
|
|
djinnZ
Advocate
Joined: 02 Nov 2006
Posts: 4831
Location: somewhere in L.O.S.
|
| Posted: Tue Jul 06, 2010 10:13 am Post subject: |
|
|
cerca bene nel bugzilla e nel forum di supporto di chkrootkit oppure usa -x lkm -vv (verifica i parametri sto andando a memoria e la mia è quantomeno scarsa essendo ormai nella fase incipiente della vecchiaia e quindi dell'artereosclerosi) per vedere dove trova il problema.
Potrebbe essere un singolo pacchetto precompilato come skype a dargli fastidio od una qualche impostazione dei permessi negli pseudo fs di sistema (dev/sys/proc) o qualche file inamovibile in /tmp.
Non ci sono risposte certe in materia, mai.
_________________
scita et risus abundant in ore stultorum sed etiam semper severi insani sunt
mala tempora currunt...mater stultorum semper pregna est
Murpy'sLaw:If anything can go wrong, it will - O'Toole's Corollary:Murphy was an optimist |
|
| Back to top |
|
|
ciro64
Guru
Joined: 20 Jun 2009
Posts: 424
|
| Posted: Wed Jul 07, 2010 12:21 am Post subject: |
|
|
| djinnZ wrote: | | cerca bene nel bugzilla e nel forum di supporto di chkrootkit oppure usa -x lkm -vv (verifica i parametri sto andando a memoria e la mia è quantomeno scarsa essendo ormai nella fase incipiente della vecchiaia e quindi dell'artereosclerosi) per vedere dove trova il problema. |
ma no.. egregio non dica così  ; la Montalcini , Montanelli, insomma sempre mentalmente performanti anche in età molto avanzata; e Gentoo è sicuramente un ottimo allenamento per i neuroni
| Quote: |
Potrebbe essere un singolo pacchetto precompilato come skype a dargli fastidio od una qualche impostazione dei permessi negli pseudo fs di sistema (dev/sys/proc) o qualche file inamovibile in /tmp.
|
Infatti mi sa che ha centrato il problema:
Sul sito di chrootkit leggendo
| Code: |
. Mount the compromised machine's disk on a machine you trust and specify a new rootdir with the `-r rootdir' option:
# ./chkrootkit -r /mnt
|
ho montato su gentoo compilata in giornata su hdd usb esterno (così me la porto pure a spasso  ) le partizioni root e /home separatmaente del sistema "fisso".
Il messaggio di warning è completamente scomparso.
Posso quindi ora dire:"risolto" ?
_________________
Gentoo: il sistema più eclettico e geniale che abbia mai provato |
|
| Back to top |
|
|
djinnZ
Advocate
Joined: 02 Nov 2006
Posts: 4831
Location: somewhere in L.O.S.
|
| Posted: Wed Jul 07, 2010 6:36 pm Post subject: |
|
|
Pare proprio di si. Casomai riprova con -x (sempre se è quello) e -vv e vedi cosa esattamente causa il falso positivo.
A questo punto segnali il bug ai devel (altrimenti che open source è) riportando i risultati (sarebbe meglio dire direttamente guarda che alla riga xxx c'è un errore e dovresti correggere... ma meglio che niente).
Se servono ulteriori riscontri ti spiegheranno loro cosa fare.
Paragonato a quella vecchia balorda della Montalcini... ed a Montanelli che deve vedere la sua creatura trascinata nel fango...
ma come ti permetti? 
gentoo al massimo è un ottimo allenamento per imparare a bestemmiare con gusto e dovizia di particolari, come documentato sulla fonte del vero saprere
_________________
scita et risus abundant in ore stultorum sed etiam semper severi insani sunt
mala tempora currunt...mater stultorum semper pregna est
Murpy'sLaw:If anything can go wrong, it will - O'Toole's Corollary:Murphy was an optimist |
|
| Back to top |
|
|
ciro64
Guru
Joined: 20 Jun 2009
Posts: 424
|
| Posted: Wed Jul 07, 2010 10:40 pm Post subject: |
|
|
| djinnZ wrote: | Pare proprio di si. Casomai riprova con -x (sempre se è quello) e -vv e vedi cosa esattamente causa il falso positivo.
A questo punto segnali il bug ai devel (altrimenti che open source è) riportando i risultati (sarebbe meglio dire direttamente guarda che alla riga xxx c'è un errore e dovresti correggere... ma meglio che niente).
Se servono ulteriori riscontri ti spiegheranno loro cosa fare. |
Purtroppo con la mia hyperniùbbaggine indi scarse capacità non so se riuscirò a "cavare il ragno dal buco" 
Vedrò magari di "studiare" un po' meglio il tutto
| Quote: |
Paragonato a quella vecchia balorda della Montalcini... ed a Montanelli che deve vedere la sua creatura trascinata nel fango...
ma come ti permetti?
|
Acc.. non pensavo i miei paragoni fossero così "emetici"... giuro 
anch'io in una futura incarnazione se il karma me lo consentirà riuscirò a raggiungere lo stato nirvanico di Gentoo
Ciao e Grazie
_________________
Gentoo: il sistema più eclettico e geniale che abbia mai provato |
|
| Back to top |
|
|
|
Forum italiano (Italian)
