Re: [ml] warning di chkrootkit: che fare?

Innanzitutto grazie della risposta.
Hai ragione per quanto riguarda le informazioni che ho dato. Devo
anche trovare un compromesso tra quanto dire (poiche' ho bisogno di
aiuto) e quanto non rivelare; e come avrai capito non sono un esperto
in materia.

Riguardo la lunghezza del parametro ho guardato anche io e riporto
alcuni altri dettagli:
Il comando che genera segmentation fault e l'avviso di chkrootkit
"Possible LKM Trojan installed" e':

./chkproc -v -v -p 3

l'errore (segmentation fault) genera un log del kernel riproducibile
("Unable to handle kernel paging request at virtual address...") con
tanto di stack e call trace riportati. Se puo' essere utile alla
comprensione del problema li posto.

Ho provato anche a far girare rkhunter: lui non segnala alcun
problema.

La cosa che mi colpisce e' che chkrootkit gira quotidianamente da
tempo ma negli ultimi giorni non ho aggiornato quella macchina (non ho
visto update di sicurezza) per cui le condizioni non sono mutate dal
mio punto di vista, sebbene l'avviso dica cose diffrenti. Per questo
sospetto una compromissione.

Grazie ancora,

Emanuele

thesp0nge wrote:
> Chi ha scritto chkproc non ha controllato "probabilmente, così a naso"
> la lunghezza dell'argomento per il parametro "-p" prima di copiarlo in
> un buffer interno. $PV, che ignoro cosa sia, probabilmente aveva una
> lunghezza superiore a quella del buffer interno e da qui il
> "Segmentation fault"
>
>
>>Ogni suggerimento e' gradito,
>
> Io, per eccesso di zelo, non darei tutti questi dettagli su cosa lascia
> passare il firewall, su che distro c'è, sul fatto che l'account è
> temporaneo. Così, eccesso di zelo appunto perché la ml ha archivi
> consultabili da chiunque. Così... non si sa mai.
>
> Per il resto secondo me questo è solo un bug in chkproc. Farei un bug
> report agli sviluppatori dando maggiori informazioni su cosa stava
> "chkproc"essando in quel momento.
>
> Il tutto è ovviamente impregnato di IMHO.