摩托學園討論區

這是一個開放的園地,竭誠歡迎您的光臨!

跳到內容

[完蛋] 我的電腦被種木馬了!

放輕鬆,這個版純聊天不談技術,歡迎大家進來坐坐。
發表回覆

[完蛋] 我的電腦被種木馬了!

文章Tetralet » 週一 1月 26, 2004 1:32 pm

最近幾天我電腦的 LOG 怪怪的,
我還在猜是不是我昇級到了 Kernel 2.6.0 的關係...

後來我發現它在擷取我所 Key In 的按鍵
用 chkrootkit 查了一下,
它說:
代碼: 選擇全部
Checking `lkm'... You have     6 process hidden for readdir command
You have     6 process hidden for ps command
Warning: Possible LKM Trojan installed


完了...
這下子可能要重灌我的 Linux 了...
時間並不能治療我心中的疼痛
南方的春天說什麼也溫暖不了我冰冷的血

誦唱大復活咒文,今天的 Tetralet 又在唧唧喳喳了 重生!
Tetralet
俺是博士
俺是博士
 
文章: 3078
註冊時間: 週四 11月 28, 2002 3:02 pm
回頂端

文章palmpilote » 週一 1月 26, 2004 2:33 pm

I dont think this is Trojan.
Try to unload kernel module "evbug".
This kernel will record what you type in for debuging.
圖檔
看啥?沒看過貓有五條腿的嗎?
http://palmpilote.twbbs.org
個人blog啟動
頭像
palmpilote
快樂的大學生
快樂的大學生
 
文章: 524
註冊時間: 週四 10月 17, 2002 4:01 pm
來自: 笨呆星球
回頂端

文章Tetralet » 週一 1月 26, 2004 2:53 pm

palmpilote 寫:I dont think this is Trojan.
Try to unload kernel module "evbug".
This kernel will record what you type in for debuging.


好像是這樣子沒錯...

解決方案是修改 /lib/modules/2.6.0-1-k7/modules.inputmap,把
代碼: 選擇全部
evbug               0x0  0x0  0x0  0x0  0x0  0  0  0  0  0  0  0  0  0x1

這一行註解起來就行了。

請參考:

 http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=227391
 http://lists.debian.org/debian-powerpc/2004/debian-powerpc-200401/msg00119.html

嚇了我一大大跳!!



代碼: 選擇全部
Warning: Possible LKM Trojan installed

這個很可能是 chkrootkit 的 Bug,還在查証中...


謝謝囉~ palmpilote 兄!
時間並不能治療我心中的疼痛
南方的春天說什麼也溫暖不了我冰冷的血

誦唱大復活咒文,今天的 Tetralet 又在唧唧喳喳了 重生!
Tetralet
俺是博士
俺是博士
 
文章: 3078
註冊時間: 週四 11月 28, 2002 3:02 pm
回頂端

文章octapult » 週一 1月 26, 2004 3:19 pm

小弟剛才執行了一下 chkrootkit -x lkm,發現有 4 個 hidden process,
從 /proc 查看,得知是 mozilla-bin 的子 process。
只要將 mozilla 關掉,chkrootkit -x lkm 就查不到東西了。
但是只要一打開 mozilla,這四個 hidden process 就馬上跑出來。

小弟個人猜測這可能不是真的 lkm rootkit,
不過目前還不太清楚狀況如何就是了 :-P

p.s. 上次我們也有關於 chkrootkit 和 hidden process 的相關討論:
viewtopic.php?t=2512&highlight=chkrootkit
上次的 hidden process 跟我這次遇到的不一樣。
上次的 hidden process 都是 kernel 的相關 process,
這次的 hidden process 都是 mozilla 的相關 process。
------BEGIN GEEK CODE BLOCK------
Version: 3.12
G! d- s+:+ a? C++(+++) UBL>++++ P L++ E+ W++ N+ o+ K- w(--)
O? M? V PS+ PE+ Y+ PGP- t 5? X++ R tv b+ DI- D+ G e? h! r-- z?
-------END GEEK CODE BLOCK-------
octapult
摩托學園!學園長們
摩托學園!學園長們
 
文章: 512
註冊時間: 週六 9月 07, 2002 10:30 pm
來自: Seyda Neen, Morrowind
回頂端

文章阿信 » 週一 1月 26, 2004 4:20 pm

Tetralet 寫:
解決方案是修改 /lib/modules/2.6.0-1-k7/modules.inputmap,把
代碼: 選擇全部
evbug               0x0  0x0  0x0  0x0  0x0  0  0  0  0  0  0  0  0  0x1

這一行註解起來就行了。



我是直接移除 evbug.ko 呢... :-P
頭像
阿信
版面大總管
版面大總管
 
文章: 4756
註冊時間: 週二 9月 03, 2002 11:58 pm
來自: 台灣 - 嘉義
回頂端

文章Tetralet » 週一 1月 26, 2004 11:58 pm

阿信 寫:我是直接移除 evbug.ko 呢... :-P


仔細想了一下下,
這個方法也許是釜底抽薪的最佳解決之道呢!
時間並不能治療我心中的疼痛
南方的春天說什麼也溫暖不了我冰冷的血

誦唱大復活咒文,今天的 Tetralet 又在唧唧喳喳了 重生!
Tetralet
俺是博士
俺是博士
 
文章: 3078
註冊時間: 週四 11月 28, 2002 3:02 pm
回頂端

文章Tetralet » 週二 1月 27, 2004 3:48 pm

octapult 寫:小弟剛才執行了一下 chkrootkit -x lkm,發現有 4 個 hidden process,
從 /proc 查看,得知是 mozilla-bin 的子 process。
只要將 mozilla 關掉,chkrootkit -x lkm 就查不到東西了。
但是只要一打開 mozilla,這四個 hidden process 就馬上跑出來。


我查了一下,
我的(筆記型)電腦上的 hidden process 也全是 mozilla-bin 的子 process,
但它們這些 process 真的無法由 ps 取得呢...
時間並不能治療我心中的疼痛
南方的春天說什麼也溫暖不了我冰冷的血

誦唱大復活咒文,今天的 Tetralet 又在唧唧喳喳了 重生!
Tetralet
俺是博士
俺是博士
 
文章: 3078
註冊時間: 週四 11月 28, 2002 3:02 pm
回頂端
發表回覆

回到 talk

誰在線上

正在瀏覽這個版面的使用者:沒有註冊會員 和 1 位訪客

POWERED_BY
正體中文語系由 竹貓星球 維護製作
cron