# chkrootkit findet LKM, bedrohlich?



## h4nnib4l123 (12. Juni 2009)

Moin!

chkrootkit findet seit gestern LKM als Trojaner.
Der Grundtenor der bei google gefundenen Postings bzgl. LKM ist, dass es sich um kein Linux Kernel Modul handelt und von chkrootkit in Verbindung mit dem 2.6er Kernel fälschlicherweise (false positive) als Bedrohung angesehen wird.

Der Server wurde nach dem HowTo Perfec Server Lenny zusammengebastelt...

Jedoch stimmt es mich etwas missmutig dies zu glauben, denn chkrootkit läuft seit 4 Tagen mit folgendem Feedback:


> The following suspicious files and directories were found:
> _/lib/init/rw/_.mdadm _/lib/init/rw/_.ramfs
> _/lib/init/rw/_.mdadm


Und seit gestern schaut es so aus:


> The following suspicious files and directories were found:
> _/lib/init/rw/_.mdadm _/lib/init/rw/_.ramfs
> _/lib/init/rw/_.mdadm
> You have     1 process hidden for readdir command
> ...


so sieht der Output von "chkrootkit -x lkm" aus:


> ROOTDIR is `/'
> ###
> ### Output of: ./chkproc -v -v -p 3
> ###
> ...


rkhunter meldet nichts ungewöhnliches...

http://www.howtoforge.com/forums/showthread.php?t=7478
Hier steht ein ähnliches Problem doch bei mir laufen die beiden Tools nicht zur selben Zeit.


----------



## Till (13. Juni 2009)

Also chkrootkit hat manchmal false positives, ich denke dass rkhunter da etwas zuverlässiger ist. solange rkhunter nichts zu meckern hat, würde ich das ganze nicht überbewerten. Am besten den Server und vor allem den Traffic und die Last mal im Auge behalten.


----------

