SDB:Das Programm chkrootkit meldet "infizierte" Programme

aus openSUSE, der freien Wissensdatenbank

Version: 9.1 -

Symptom

Das Programm chkrootkit meldet auf einem neu installiertem SUSE LINUX 9.1 Standardsystem fälschlicherweise "infizierte" Programme, u.a. ps und top.

Ursache

Seit der 2.6.x Kernelserie werden Prozesse mit mehreren Threads nur noch mit einer PID (Process ID) angezeigt. Das ist eine Änderung zur 2.4.x Kernelserie, bei welcher jeder Thread seine eigene PID hat. chkrootkit führt ein ls auf /proc aus, vergleicht das mit der Ausgabe von ps und top und berücksichtigt dann das geänderte Verhalten des Kernels nicht und meldet "Eindringling".

Hintergrundinformationen

Diese Arbeitsweise von chkrootkit zeigt einerseits aus oben genanntem Grund nicht die tatsächlichen Gegebenheiten an.
Andererseits führt ps ebenfalls ein getdents (get directory entries) auf /proc durch, eigentlich genauso wie ls oder die Shell mit dem Befehl "echo *".
Weitere Informationen erhalten Sie in der man Page zu getdents.

Ein solcher Test kann nicht auf ein kernel-backdoor hinweisen, denn diese Backdoor würde den Eintrag in /proc verschwinden lassen, womit es auch für ps nichts zu sehen gäbe.

Hinweis:

Sie können alternativ rkhunter verwenden - dieses zeigt die beschriebene Problematik nicht.

Links:

ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz

http://www.rootkit.nl/projects/rootkit_hunter.html