On 8/30/07, <b class="gmail_sendername">NoOp</b> <<a href="mailto:glgxg@sbcglobal.net">glgxg@sbcglobal.net</a>> wrote:<div><span id="{CC5FD7B3-1BCD-43BF-9D7B-700997CF9C59}" class="gmail_quote"></span><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
On 08/30/2007 08:26 AM, NoOp wrote:<br>> On 08/29/2007 01:00 PM, Jimmy Wu wrote:<br>>> Tried chkrootkit, and everything seems fine, except for these lines:<br>>> Checking `lkm'... You have     3 process hidden for readdir command
<br>>> You have     3 process hidden for ps command<br>>> chkproc: Warning: Possible LKM Trojan installed<br>>><br>>> Should I be worried, and what should I do?<br>>><br>>> Thanks<br>>>
<br>><br>> Google is your friend (sometimes)... you'll find many threads regarding<br>> chkrootkit and the possibility of false positives. Google for "Possible<br>> LKM Trojan installed". Also:<br>
><br>> <a href="http://www.chkrootkit.org/faq/">http://www.chkrootkit.org/faq/</a><br>>  <a href="http://www.chkrootkit.org/faq/#6">http://www.chkrootkit.org/faq/#6</a><br>><br>> However, I would take it as serious until you can confirm that it is a
<br>> false positive. I'd also recommend that you scan using Rootkit Hunter:<br>> <a href="http://www.rootkit.nl/projects/rootkit_hunter.html">http://www.rootkit.nl/projects/rootkit_hunter.html</a><br>><br>> $ sudo apt-get install rkhunter
<br>><br>> to see if it finds the same.<br>><br>><br><br>Sorry, forgot to add that after '$ sudo apt-get install rkhunter' do:<br><br>$ sudo rkhunter --update<br>then<br>$ sudo rkhunter -c<br><br>Gary</blockquote>
<div id="{8749ED4C-6F18-4BBA-A838-9887F2373FED}"><br></div></div>tried rkhunter: <br>it didn't find LKM trojan, but it did give a Warning with a message tellingme to "Please inspect" the following hidden files:
<br>/dev/.static<br>/dev/.udev <br>/dev/.initramfs<br><br>Jimmy