# [risolto] chkrootkit: messaggio "sospetto"

## ciro64

Ciao e Buona Domanica;

premetto che son molto "pollo" riguardo questi argomenti.

dunque: ho voluto fare una scansione con chkrootkit; pare tutto ok tranne il seguente messaggio:

```

chkdirs: Warning: Possible LKM Trojan installed

```

Che peso devo dare a questo warning ?

C'è modo di "affinare" la ricerca ?

mentre, con rkhunter e clamav, nulla da dover segnalare.

Grazie.

----------

## djinnZ

Una rapida ricerca in rete lo evidenzia come possibile bug

----------

## ciro64

Ok; anch'io ho letto qualche discussione in rete che considera questo warning come una sorta di "falso positivo".

Ma.. ho preferito chiedere consigilio qui.

Quindi: "la accendiamo ?" (ovvero: posso considerare risolto ?)

Grazie  :Smile: 

----------

## djinnZ

cerca bene nel bugzilla e nel forum di supporto di chkrootkit oppure usa -x lkm -vv (verifica i parametri sto andando a memoria e la mia è quantomeno scarsa essendo ormai nella fase incipiente della vecchiaia e quindi dell'artereosclerosi) per vedere dove trova il problema.

Potrebbe essere un singolo pacchetto precompilato come skype a dargli fastidio od una qualche impostazione dei permessi negli pseudo fs di sistema (dev/sys/proc) o qualche file inamovibile in /tmp.

Non ci sono risposte certe in materia, mai.

----------

## ciro64

 *djinnZ wrote:*   

> cerca bene nel bugzilla e nel forum di supporto di chkrootkit oppure usa -x lkm -vv (verifica i parametri sto andando a memoria e la mia è quantomeno scarsa essendo ormai nella fase incipiente della vecchiaia e quindi dell'artereosclerosi) per vedere dove trova il problema.

 

ma no.. egregio non dica così  :Sad: ; la Montalcini , Montanelli, insomma sempre mentalmente performanti anche in età molto avanzata; e Gentoo è sicuramente un ottimo allenamento per i neuroni  :Smile: 

 *Quote:*   

> 
> 
> Potrebbe essere un singolo pacchetto precompilato come skype a dargli fastidio od una qualche impostazione dei permessi negli pseudo fs di sistema (dev/sys/proc) o qualche file inamovibile in /tmp.
> 
> 

 

Infatti mi sa che ha centrato il problema:

Sul sito di chrootkit leggendo

```

. Mount the compromised machine's disk on a machine you trust and specify a new rootdir with the `-r rootdir' option:

      # ./chkrootkit -r /mnt

```

ho montato su gentoo compilata in giornata su hdd usb esterno (così me la porto pure a spasso  :Very Happy: ) le partizioni root e /home separatmaente del sistema "fisso".

Il messaggio di warning è completamente scomparso.

Posso quindi ora dire:"risolto" ?

----------

## djinnZ

Pare proprio di si. Casomai riprova con -x (sempre se è quello) e -vv e vedi cosa esattamente causa il falso positivo.

A questo punto segnali il bug ai devel (altrimenti che open source è) riportando i risultati (sarebbe meglio dire direttamente guarda che alla riga xxx c'è un errore e dovresti correggere... ma meglio che niente).

Se servono ulteriori riscontri ti spiegheranno loro cosa fare.

Paragonato a quella vecchia balorda della Montalcini... ed a Montanelli che deve vedere la sua creatura trascinata nel fango...

ma come ti permetti?  :Laughing: 

gentoo al massimo è un ottimo allenamento per imparare a bestemmiare con gusto e dovizia di particolari, come documentato sulla fonte del vero saprere

----------

## ciro64

 *djinnZ wrote:*   

> Pare proprio di si. Casomai riprova con -x (sempre se è quello) e -vv e vedi cosa esattamente causa il falso positivo.
> 
> A questo punto segnali il bug ai devel (altrimenti che open source è) riportando i risultati (sarebbe meglio dire direttamente guarda che alla riga xxx c'è un errore e dovresti correggere... ma meglio che niente).
> 
> Se servono ulteriori riscontri ti spiegheranno loro cosa fare.

 

Purtroppo con la mia hyperniùbbaggine indi scarse capacità non so se riuscirò a "cavare il ragno dal buco"  :Rolling Eyes: 

Vedrò magari di "studiare" un po' meglio il tutto  :Smile: 

 *Quote:*   

> 
> 
> Paragonato a quella vecchia balorda della Montalcini... ed a Montanelli che deve vedere la sua creatura trascinata nel fango...
> 
> ma come ti permetti? 
> ...

 

Acc.. non pensavo i miei paragoni fossero così "emetici"... giuro  :Embarassed: 

 *Quote:*   

> 
> 
> gentoo al massimo è un ottimo allenamento per imparare a bestemmiare con gusto e dovizia di particolari, come documentato sulla fonte del vero saprere

 

 :Laughing:   :Laughing:   anch'io in una futura incarnazione se il karma me lo consentirà riuscirò a raggiungere lo stato nirvanico di Gentoo  :Laughing: 

Ciao e Grazie  :Smile: 

----------

