Divne cislo PID (nulove) & chkrootkit

Úterý Listopad 11 23:38:37 CET 2003

Dobry den,

pri behu chkrootkit mi vyskocilo nasledujici hlaseni:

Checking `lkm'... You have     4 process hidden for ps command
Warning: Possible LKM Trojan installed

Vse ostatnise tvari ciste (pri prohlizeni knoppixem). Pri hledani na
webu jsem nasel, ze je to bud:

a) rychle se startujici a ukoncujici se procesy, takze mezi vypisem ps a
kontrolou proc se neco stane s procesy. To by nemel byt muj duvod nebot
ta masina je pouze firewall.

b) v jadre je mozne tvorit tzv. hidden procesy, ktere ps nevidi (jen o
tom byla zminka nekde v konferenci). Bohuzel jsem nenasel jsem jak by se
tvorily plus nejakou podminku vytvoreni. Google me hazi na man stranky
wait, atd.

Kazdopadne me zarazil vypis z ps (viz nize). Je mozne mit takhle
ocislovane procesy? Muze nejaky kernel guru poradit? Je to bug or
feature or hack?

Zajimave je, ze v /proc (pri prohlizeni ala mc) tam cisla 3 az 6 jsou,
ale polozky jsou vsechny prazdne.

Jadro 2.4.22+XFS, bez XFS take. Debian unstable.

  PID TTY      STAT   TIME COMMAND
    1 ?        S      0:04 init
    2 ?        SW     0:03 [keventd]
!!    0 ?        SWN    0:00 [ksoftirqd_CPU0]
!!    0 ?        SW     0:00 [kswapd]
!!    0 ?        SW     0:00 [bdflush]
!!    0 ?        SW     0:00 [kupdated]
    7 ?        SW     0:00 [pagebufd]
    8 ?        SW     0:00 [xfslogd/0]
    9 ?        SW     0:00 [xfsdatad/0]
   11 ?        SW<    0:00 [mdrecoveryd]
   12 ?        SW<    0:00 [raid1d]
   13 ?        SW     0:00 [xfssyncd]
  172 ?        SW     0:00 [khubd]

Predem diky za odpoved.

S pozdravem Milan Kocian