[Tech] zkmem
Alessio Frusciante
algol@tin.it
Lun 31 Maggio 2004 15:49:03 CEST
Oggi Daniele Masini ha scritto:
> Su una macchina che fa da server web e ssh (forse anche qualcos'altro
> ...), in
> seguito al comando
>
> shutdown -r now
>
> ho ricevuto il seguente messaggio:
>
> The system is going down for reboot NOW !!
> [zkmem](1.1)
> Use:
> /sbin/init <option> <args>
> u <password> * uninstall
> k <pid> * make pid invisible
> v <pid> * make pid visible
> f <0/1><key> * toggle file hiding
> p <0/1><key> * toggle pid hiding
>
> ed il sistema non si riavvia.
>
> C'è qualcuno che sa qualcosa in proposito?
A occhio e croce, dalle opzioni presentate, sembra un rootkit, ossia un
programma per nascondere le proprie tracce e rimanere root (dopo esserlo
diventato in maniera non proprio "canonica").
Qui:
http://www.chkrootkit.org
si parla di uno ZK rootkit, forse si tratta di quello. Potresti dare
un'occhiata ai controlli che fa questo programma e vedere se sulla macchina
c'e` qualcosa di simile.
Il fatto che scriva zkmem mi fa venire in mente il rootkit SucKIT, che
usava una tecnica piuttosto sofisticata, senza usare i moduli, ma
attraverso /dev/kmem.
Ciao
Alessio
Maggiori informazioni sulla lista
flug-tech