Moin, moin,
wenn ich den Output von chkrootkit richtig interpretiere, dann haben wir uns wohl ein Adore LKm eingefangen.
chkrootkit -x lkm
ROOTDIR is `/'
###
### Output of: ./chkproc -v -v
###
SIGINVISIBLE Adore found
Wie ist damit zur Bereinigung umzugehen ?
Und - falls Neuinstallation unumgaenglich - welche alten Configdaten kann ich uebernehmen ?
Und hat hier jemandeinen Tip, durch welches Loch er gekrochen sein kann ?
Wir haben Apache, PHP, MYSQL und Jabber laufen (inkl. ein Java-ChatApplet nach Jabber).
dank für zielführende Hinweise
Adore Rootkit
Re: Adore Rootkit
Hallo,
ist es ein Vserver?
Kann Fehlmeldung sein bedingt durch Vserver-Technik.
Gruß, Wolfgang
ist es ein Vserver?
Kann Fehlmeldung sein bedingt durch Vserver-Technik.
Gruß, Wolfgang
Adore Rootkit
es ist tatsächlich ein VServer.
Woran kann ich ggf. erkennen, ob es ein Fehlalarm ist ?
Woran kann ich ggf. erkennen, ob es ein Fehlalarm ist ?
Re: Adore Rootkit
Hallo,
ich hatte das pragmatisch nachgewiesen: Vserver frisch aussetzen lassen, gleich danach chkrootkit installiert und Meldung war wieder da. (Neueinrichtung war für mich kein Problem, da Vserver ganz neu und ich noch am ausprobieren).
LKM steht für Loadable Kernel Module. Da man beim Vserver keinen eigenen Kernel hat und keine Module in den Gemeinschaftskernel laden kann, kann man sich meiner Meinung nach kein LKM einfangen.
Wenn Du googlest: Es gibt auch einen Adore-Wurm, das ist was anderes.
Gruß, Wolfgang
ich hatte das pragmatisch nachgewiesen: Vserver frisch aussetzen lassen, gleich danach chkrootkit installiert und Meldung war wieder da. (Neueinrichtung war für mich kein Problem, da Vserver ganz neu und ich noch am ausprobieren).
LKM steht für Loadable Kernel Module. Da man beim Vserver keinen eigenen Kernel hat und keine Module in den Gemeinschaftskernel laden kann, kann man sich meiner Meinung nach kein LKM einfangen.
Wenn Du googlest: Es gibt auch einen Adore-Wurm, das ist was anderes.
Gruß, Wolfgang
Re: Adore Rootkit
Hallo,
chkrootkit liefert keine sicheren Aussagen, weder positiv noch negativ.
Es hat Veränderungen am Kernel festgestellt, die ein Befall mit Adore sein könnten. Vserver-Kernel sind gegenüber Standard-Kernel deutlich verändert, chkrootkit ist reingefallen.
Soweit meine Meinung, bin mal gespannt, was die Sicherheitsexperten dazu sagen.
Gruß, Wolfgang
chkrootkit liefert keine sicheren Aussagen, weder positiv noch negativ.
Es hat Veränderungen am Kernel festgestellt, die ein Befall mit Adore sein könnten. Vserver-Kernel sind gegenüber Standard-Kernel deutlich verändert, chkrootkit ist reingefallen.
Soweit meine Meinung, bin mal gespannt, was die Sicherheitsexperten dazu sagen.
Gruß, Wolfgang
Adore & Pachet Sniffer
weitere Unklarheiten:
insbesondere der Packet Sniffer macht uns KopfschmerzenChecking `bindshell'... INFECTED (PORTS: 1524 31337)
Checking `lkm'... SIGINVISIBLE Adore found
Warning: Possible LKM Trojan installed
Checking `rexedcs'... not found
Checking `sniffer'... /proc/1/fd: Permission denied
eth0:vs39a: PACKET SNIFFER((null)[(null)])
Checking `w55808'... not infected
Checking `wted'... nothing deleted
Checking `scalper'... not infected
Checking `slapper'... not infected
Checking `z2'... nothing deleted