[DÚVIDA] Rootkit [RESOLVIDO]

arqueiro_camelot
(usa Fedora)

Enviado em 02/05/2010 - 02:55h

Checking `lkm'... find: /proc/3884/net: Invalid argument
chkproc: nothing detected
chkdirs: nothing detected
Checking `rexedcs'... not found
Checking `sniffer'... eth0: PF_PACKET(/sbin/dhcpcd)
Checking `w55808'... not infected
Checking `wted'... chkwtmp: nothing deleted
Checking `scalper'... not infected
Checking `slapper'... not infected
Checking `z2'... chklastlog: nothing deleted
Checking `chkutmp'... The tty of the following user process(es) were not found
in /var/run/utmp !
! RUID PID TTY CMD
! root 3255 tty7 /usr/bin/X -br -nolisten tcp :0 vt7 -auth /var/run/xauth/A:0-ac3bw5
chkutmp: nothing deleted
Checking `OSX_RSPLUG'... not infected

Acho que há algo de errado nas linhas de checagem do "lkm" e do "sniffer". Alguém pode me explicar o que significa a saída:

`lkm'... find: /proc/3884/net: Invalid argument

`sniffer'... eth0: PF_PACKET ?

Estou infectado com algum rootkit ?

renato_pacheco
(usa Debian)

Enviado em 02/05/2010 - 10:50h

A linha "sniffer" informa q tem um aplicativo q está atuando dessa forma (dhcpcd), e q é verdade, mas é normal pq ele faz isso pra detectar se há algum pacote d solicitação d IP. A linha "lkm" consta algum erro no script q vc tá executando, pois ele detecta como argumento inválido.

albfneto
(usa openSUSE)

Enviado em 02/05/2010 - 11:09h

nenhuma das linha indica infecção por rootkit.
sua máquina é um servidor ou um desktop?, pq virus em linux, são raros...
uso linux a 4 anos, nunca ví nem peguei um rootkit linux..., mesmo sem antivirus...

arqueiro_camelot
(usa Fedora)

Enviado em 02/05/2010 - 12:01h

Obrigado pelo esclarecimento. NETO, uso o Slack como desktop e não como servidor. A minha dúvida foi gerada ao ler um tópico no site 'GUIA DO HARDWARE' sobre detecção de rootkit em Linux (http://www.gdhpress.com.br/ferramentas/leia/index.php?p=cap2-41).

Em uma parte do artigo, o Morimoto menciona: "Uma parte importante é a checagem das interfaces de rede, que aparece no final do relatório:

Checking `sniffer'... lo: not promisc and no packet sniffer sockets
eth0: not promisc and no packet sniffer sockets"

Como o retorno do meu log do chkrootkit foi: Checking `sniffer'... eth0: PF_PACKET(/sbin/dhcpcd), bem diferente do mencionado pelo Morimoto, fiquei preocupado. Não sei o que é PF_PACKET.

arqueiro_camelot
(usa Fedora)

Enviado em 02/05/2010 - 13:01h

Aproveitando a oportunidade, dei o comando "$ w" pelo terminal e o retorno foi:

12:07:45 up 32 min, 3 users, load average: 0.02, 0.05, 0.07
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
lorne :0 - 11:36 ?xdm? 45.41s 0.02s /bin/sh /usr/bi
lorne pts/0 :0 11:36 30:50 0.00s 0.30s kded [kdeinit]
lorne pts/1 :0.0 12:07 0.00s 0.00s 0.00s w

O que significa as saídas pts/0 e pts/1 na coluna TTY ? Por acaso significa que há dois usuários acessando minha máquina ?

renato_pacheco
(usa Debian)

Enviado em 02/05/2010 - 13:37h

Os virtual consoles pts são terminais abertos via ambiente gráfico (xterm, konsole, gnome-terminal etc.). Vc deve t aberto mais d um. Veja q no final mostra o aplicativo q tá rodando em cada virtual console. Note, tb, q o último foi o seu (q executou w).

arqueiro_camelot
(usa Fedora)

Enviado em 03/05/2010 - 21:59h

valeu pelos esclarecimento.

um abração