From: Tolga Ercan (tolga@ormo.com.tr)
Date: Mon 30 Sep 2002 - 13:29:38 EEST
uzun zamandir ilgilenmedigim bir makinemde bir trojan/rootkit tespit ettim
kernelde gizli module olarak calisiyor. ve kendini ps den sakliyor lsmod yada
cat /proc/modules gostermiyor. md5sum lari check ettim deismis kernel
syscallardan sys_socketcall u eklemis. (c014e270).
objdump -D /boot/vmlinux-2.2.19rxxx | grep c014e270
yaptigimda module olarak orda ama oysaki lsmodda yada benzeri bir yerde
gozukmuyor ve udp/21 calistiriyor. lsof/netstat/ps herseyin md5 ok dosyalarim
deismemis ama bunu yinede goremiyorum
objdump -D /boot/vmlinux-2.2.19rxxx | grep c014e270 | grep call diye arrattim
ama bulamadim. bunu adresi neyin call ettigini yada gizli olan module ?
biraz ipucu v.b verebilecekler lutfen kucuk yardimlariniza ihtiyacim var.
bu olay cok zevkli bi is.yani yapmak demek istemedim cozmek :)
sevgiler
tolga ercan
-----------------------------------------------------------------------
Liste üyeliğiniz ile ilgili her türlü işlem için
http://liste.linux.org.tr adresindeki web arayüzünü kullanabilirsiniz.
Listeden çıkmak için: 'linux-guvenlik-request@linux.org.tr' adresine,
"Konu" kısmında "unsubscribe" yazan bir e-posta gönderiniz.
-----------------------------------------------------------------------