chkrootkit: Checking `bindshell'... INFECTED (PORTS: 465)

[moppi]

Hallo,

ich habe "chkrootkit" als heisse Empfehlung von einem Bekannten bekommen. Nun habe ich das einmal auf meinem durchlaufen lassen und sehe nun diese Meldung von "bindshell". Ich habe auf meinem Server die SuSE Firewall installiert, für Logging Vorgänge, kann es sein das "chkrootkit" den gesperrten Port falsch erkennt?

Code: Select all

Searching for ShKit rootkit default files and dirs... nothing found
Searching for anomalies in shell history files... nothing found
Checking `asp'... not infected
Checking `bindshell'... INFECTED (PORTS:  465)
Checking `lkm'... nothing detected
Checking `rexedcs'... not found
Checking `sniffer'... Checking `w55808'... not infected
Checking `wted'... nothing deleted
Checking `scalper'... not infected
Checking `slapper'... not infected
Checking `z2'... nothing deleted

Vielen Dank für Eure Hilfe.

[captaincrunch]

Die Forensuche verrät dir, dass es hier mit Postfix zusammenhängt. Ein lsof -i :465 sogar, welcher Prozess es genau ist.

[wgot]

Hallo,

ist ein Fehler im chkrootkit:

http://www.rootforum.org/faq/index.php? ... 31&lang=de

Gruß, Wolfgang

[captaincrunch]

Ups ... sorry für die falsche Info, das hatte ich wohl falsch im Kopf.

[moppi]

Es hätte mich eigentlich auch sehr gewundert, denn ich habe normalerweise spätestens nach 2 Stunden dem Erhalt der SuSE Security News die neueste Version drauf.

Aber ich habe mal folgende ausgabe mitgeschickt:

Code: Select all

p15136049:~ # lsof -i :465
COMMAND  PID USER   FD   TYPE   DEVICE SIZE NODE NAME
master  1230 root   14u  IPv4 26413666       TCP *:smtps (LISTEN)

falls daran etwas nicht in Ordnung ist bitte mal bescheid sagen.