?chkorrtkit?

[helling3r]

sorry, dass ich schon wieder einen chkrootkit-thread starte, aber hier die ausgabe meines durchlaufs:

ist das jetzt brisant oder muss ich mir keine Gedanken machen?
habe ich einen sniffer drauf??

Code: Select all

Checking `lkm'... You have     2 process hidden for readdir command
You have     2 process hidden for ps command
Warning: Possible LKM Trojan installed
Checking `sniffer'... lo: not promisc and no packet sniffer sockets
eth0: PACKET SNIFFER(/sbin/dhclient[331])

[wirsing]

Code: Select all

man dhclient

Und wenn du genau wissen willst wie:
http://www.faqs.org/rfcs/rfc2131.html

[Anonymous]

sorry, dass ich schon wieder einen chkrootkit-thread starte, aber hier die ausgabe meines durchlaufs:

ist das jetzt brisant oder muss ich mir keine Gedanken machen?
habe ich einen sniffer drauf??

Code: Select all

Checking `lkm'... You have     2 process hidden for readdir command
You have     2 process hidden for ps command
Warning: Possible LKM Trojan installed
Checking `sniffer'... lo: not promisc and no packet sniffer sockets
eth0: PACKET SNIFFER(/sbin/dhclient[331])

naja, ich glaube das ist nicht das was er wissen wollte, oder ?
" 2 processes hidden for ps command, 2 processes for readdir command" -> da läuft wahrscheinlich was, was du nicht willst. bitte prüfe da genauer !

steady

[foxi]

Hallo HELLinG3R,

welche Distri verwendest Du ?


Foxi

[blnsnoopy26]

Hi,

Also ich habe es heute auch mal installiert das tool.
Und bekomme genau die selbe ausgabe:

Code: Select all

Checking `asp'... not infected
Checking `bindshell'... INFECTED (PORTS:  465)
Checking `lkm'... You have     1 process hidden for readdir command
You have     1 process hidden for ps command
Warning: Possible LKM Trojan installed
Checking `rexedcs'... not found
Checking `sniffer'... eth0: PF_PACKET(/sbin/dhcpcd)
eth0:1: PF_PACKET(/sbin/dhcpcd)
Checking `w55808'... not infected
Checking `wted'... nothing deleted
Checking `scalper'... not infected
Checking `slapper'... not infected
Checking `z2'... nothing deleted

Dies erscheint, wenn ich es mir per E-Mail zukommen lasse wie in der Readme steht - also quasi als Cronjob.

Can I run chkrootkit from cron?
Yes. For example, to run chkrootkit every day at 3am and mail the output to root:

0 3 * * * (cd /path/to/chkrootkit; ./chkrootkit 2>&1 | mail -s "chkrootkit output" root)

http://www.spenneberg.org/chkrootkit-mirror/

So sieht es aus, wenn ich es unter putty ausführe:

Code: Select all

Checking `asp'... not infected
Checking `bindshell'... INFECTED (PORTS:  465)
Checking `lkm'... nothing detected
Checking `rexedcs'... not found
Checking `sniffer'... eth0: PF_PACKET(/sbin/dhcpcd)
eth0:1: PF_PACKET(/sbin/dhcpcd)
Checking `w55808'... not infected
Checking `wted'... nothing deleted
Checking `scalper'... not infected
Checking `slapper'... not infected
Checking `z2'... nothing deleted

Ich denke mal das liegt irgendwie damit zusammen, wenn man es als Cronjob startet und sich dies per Mail schicken lässt.

Werde da mal weiter testen.

[blnsnoopy26]

Hi,

Nochmal ich....
Also habe grad noch ne mail bekommen von meinem server....
jetzt scheint es wieder normal zu sein.

Code: Select all

Checking `asp'... not infected
Checking `bindshell'... INFECTED (PORTS:  465)
Checking `lkm'... nothing detected
Checking `rexedcs'... not found
Checking `sniffer'... eth0: PF_PACKET(/sbin/dhcpcd)
eth0:1: PF_PACKET(/sbin/dhcpcd)
Checking `w55808'... not infected
Checking `wted'... nothing deleted
Checking `scalper'... not infected
Checking `slapper'... not infected
Checking `z2'... nothing deleted

Möglich weil ich über webmin mal den Cronjob gestartet hatte.... jetzt scheint alles normal zu sein ;)

Naja bekomme ja alle 6 Stunden ne mail also mal sehn

[mmg-media]

chkrootkit ist doch veraltet, nimm den rootkithunter

http://www.rootkit.nl

[blnsnoopy26]

chkrootkit ist doch veraltet, nimm den rootkithunter

http://www.rootkit.nl

Moin,

Werde mir das teil mal ankucken und sehen was es kann :)

[blnsnoopy26]

Hi,

Jo sieht ganz gut aus und via shell schön mit farben versehn :)
NAch dem durchlauf hat der bei mir nix gefunden und soweit alles mit OK betitelt :)

Code: Select all

Rootkit Hunter 1.0.9 is running

Determining OS... Ready


Checking binaries
* Selftests
     Strings (command)     [ OK ]


* System tools
  Performing 'known bad' check...
   /bin/cat  [ OK ]
   /bin/chmod  [ OK ]
   /bin/chown  [ OK ]
   /bin/csh  [ OK ]
   /bin/date  [ OK ]
   /bin/df  [ OK ]
   /bin/dmesg  [ OK ]
   /bin/echo  [ OK ]
   /bin/ed  [ OK ]
   /bin/egrep  [ OK ]
   /bin/fgrep  [ OK ]
   /bin/grep  [ OK ]
   /bin/kill  [ OK ]
   /bin/login  [ OK ]
   /bin/ls  [ OK ]
   /bin/more  [ OK ]
   /bin/mount  [ OK ]
   /bin/netstat  [ OK ]
   /bin/ps  [ OK ]
   /bin/sh  [ OK ]
   /bin/sort  [ OK ]
   /bin/su  [ OK ]
   /sbin/checkproc  [ OK ]
   /sbin/chkconfig  [ OK ]
   /sbin/depmod  [ OK ]
   /sbin/ifconfig  [ OK ]
   /sbin/ifdown  [ OK ]
   /sbin/ifstatus  [ OK ]
   /sbin/ifup  [ OK ]
   /sbin/init  [ OK ]
   /sbin/insmod  [ OK ]
   /sbin/ip  [ OK ]
   /sbin/ksyms  [ OK ]
   /sbin/lsmod  [ OK ]
   /sbin/modinfo  [ OK ]
   /sbin/modprobe  [ OK ]
   /sbin/nologin  [ OK ]
   /sbin/rmmod  [ OK ]
   /sbin/runlevel  [ OK ]
   /sbin/sulogin  [ OK ]
   /sbin/sysctl  [ OK ]
   /sbin/syslogd  [ OK ]
   /usr/bin/basename  [ OK ]
   /usr/bin/chattr  [ OK ]
   /usr/bin/du  [ OK ]
   /usr/bin/egrep  [ OK ]
   /usr/bin/fgrep  [ OK ]
   /usr/bin/file  [ OK ]
   /usr/bin/find  [ OK ]
   /usr/bin/groups  [ OK ]
   /usr/bin/head  [ OK ]
   /usr/bin/killall  [ OK ]
   /usr/bin/last  [ OK ]
   /usr/bin/lastlog  [ OK ]
   /usr/bin/less  [ OK ]
   /usr/bin/locate  [ OK ]
   /usr/bin/lsattr  [ OK ]
   /usr/bin/md5sum  [ OK ]
   /usr/bin/passwd  [ OK ]
   /usr/bin/pstree  [ OK ]
   /usr/bin/sha1sum  [ OK ]
   /usr/bin/size  [ OK ]
   /usr/bin/sort  [ OK ]
   /usr/bin/stat  [ OK ]
   /usr/bin/strace  [ OK ]
   /usr/bin/strings  [ OK ]
   /usr/bin/test  [ OK ]
   /usr/bin/top  [ OK ]
   /usr/bin/touch  [ OK ]
   /usr/bin/users  [ OK ]
   /usr/bin/vmstat  [ OK ]
   /usr/bin/w  [ OK ]
   /usr/bin/watch  [ OK ]
   /usr/bin/wc  [ OK ]
   /usr/bin/wget  [ OK ]
   /usr/bin/whatis  [ OK ]
   /usr/bin/whereis  [ OK ]
   /usr/bin/which  [ OK ]
   /usr/bin/who  [ OK ]
   /usr/bin/whoami  [ OK ]
   /usr/sbin/cron  [ OK ]
   /usr/sbin/useradd  [ OK ]
   /usr/sbin/usermod  [ OK ]
   /usr/sbin/vipw  [ OK ]
   /usr/sbin/xinetd  [ OK ]
  Performing 'known good' check...


Check rootkits
* Default files and directories
   Rootkit '55808 Trojan - Variant A'...   [ OK ]
   Rootkit 'AjaKit'...   [ OK ]
   Rootkit 'aPa Kit'...   [ OK ]
   Rootkit 'Apache Worm'...   [ OK ]
   Rootkit 'Ambient (ark) Rootkit'...   [ OK ]
   Rootkit 'Balaur Rootkit'...   [ OK ]
   Rootkit 'BeastKit'...   [ OK ]
   Rootkit 'BOBKit'...   [ OK ]
   Rootkit 'CiNIK Worm (Slapper.B variant)'...   [ OK ]
   Rootkit 'Danny-Boy's Abuse Kit'...   [ OK ]
   Rootkit 'Devil RootKit'...   [ OK ]
   Rootkit 'Dica'...   [ OK ]
   Rootkit 'Dreams Rootkit'...   [ OK ]
   Rootkit 'Duarawkz'...   [ OK ]
   Rootkit 'Flea Linux Rootkit'...   [ OK ]
   Rootkit 'FreeBSD Rootkit'...   [ OK ]
   Rootkit 'Fuck`it Rootkit'...   [ OK ]
   Rootkit 'GasKit'...   [ OK ]
   Rootkit 'Heroin LKM'...   [ OK ]
   Rootkit 'HjC Kit'...   [ OK ]
   Rootkit 'ignoKit'...   [ OK ]
   Rootkit 'ImperalsS-FBRK'...   [ OK ]
   Rootkit 'Irix Rootkit'...   [ OK ]
   Rootkit 'Kitko'...   [ OK ]
   Rootkit 'Knark'...   [ OK ]
   Rootkit 'Li0n Worm'...   [ OK ]
   Rootkit 'Lockit / LJK2'...   [ OK ]
   Rootkit 'MRK'...   [ OK ]
   Rootkit 'RootKit for SunOS / NSDAP'...   [ OK ]
   Rootkit 'Optic Kit (Tux)'...   [ OK ]
   Rootkit 'Oz Rootkit'...   [ OK ]
   Rootkit 'Portacelo'...   [ OK ]
   Rootkit 'R3dstorm Toolkit'...   [ OK ]
   Sebek LKM  [ OK ]
   Rootkit 'Scalper Worm'...   [ OK ]
   Rootkit 'Shutdown'...   [ OK ]
   Rootkit 'SHV4'...   [ OK ]
   Rootkit 'Sin Rootkit'...   [ OK ]
   Rootkit 'Slapper'...   [ OK ]
   Rootkit 'Sneakin Rootkit'...   [ OK ]
   Rootkit 'Suckit Rootkit'...   [ OK ]
   Rootkit 'SunOS Rootkit'...   [ OK ]
   Rootkit 'Superkit'...   [ OK ]
   Rootkit 'TBD (Telnet BackDoor)'...   [ OK ]
   Rootkit 'TeLeKiT'...   [ OK ]
   Rootkit 'T0rn Rootkit'...   [ OK ]
   Rootkit 'Trojanit Kit'...   [ OK ]
   Rootkit 'Tuxtendo'...   [ OK ]
   Rootkit 'URK'...   [ OK ]
   Rootkit 'VcKit'...   [ OK ]
   Rootkit 'Volc Rootkit'...   [ OK ]
   Rootkit 'X-Org SunOS Rootkit'...   [ OK ]
   Rootkit 'zaRwT.KiT Rootkit'...   [ OK ]

* Suspicious files and malware
   Scanning for known rootkit files  [ OK ]
   Miscellaneous Login backdoors  [ OK ]
   Miscellaneous directories  [ OK ]
   Sniffer logs  [ OK ]

* Trojan specific characteristics
   shv4
     Checking /etc/rc.d/rc.sysinit  [ Not found ]
     Checking /etc/inetd.conf  [ Clean ]

* Suspicious file properties
   chmod properties
     Checking /bin/ps  [ Clean ]
     Checking /bin/ls  [ Clean ]
     Checking /usr/bin/w  [ Clean ]
     Checking /usr/bin/who  [ Clean ]
     Checking /bin/netstat  [ Clean ]
     Checking /bin/login  [ Clean ]
   Script replacements
     Checking /bin/ps  [ Clean ]
     Checking /bin/ls  [ Clean ]
     Checking /usr/bin/w  [ Clean ]
     Checking /usr/bin/who  [ Clean ]
     Checking /bin/netstat  [ Clean ]
     Checking /bin/login  [ Clean ]

* OS dependant tests

   Linux
   Checking loaded kernel modules... lsmod: QM_MODULES: Function not implemented

Skipped!


Networking
* Check: frequently used backdoors
Not tested

* Interfaces
     Scanning for promiscuous interfaces  [ OK ]


System checks
* Allround tests
   Checking hostname... Found. Hostname is p1xxxxxx
   Checking for differences in user accounts... OK. No changes.
   Checking for differences in user groups... OK. No changes.
   Checking rc.local file... 
     - /etc/rc.local  [ Not found ]
     - /etc/rc.d/rc.local  [ Not found ]
     - /usr/local/etc/rc.local  [ Not found ]
     - /usr/local/etc/rc.d/rc.local  [ Not found ]
     - /etc/conf.d/local.start  [ Not found ]
   Checking rc.d files... 
     Processing........................................
               ........................................
               ........................................
               ...................................
   Result rc.d files check  [ OK ]
   Checking history files
     Bourne Shell  [ OK ]

* Filesystem checks
   Checking /dev for suspicious files...   [ OK ]
   Scanning for hidden files...  [ OK ]


Security advisories
* Check: Groups and Accounts
   Searching for /etc/passwd...   [ Found ]
   Checking users with UID '0' (root)...   [ OK ]

* Check: SSH
   Searching for sshd_config... 
   Found /etc/ssh/sshd_config
   Checking for allowed root login...   [ OK (Remote root login disabled) ]
   Checking for allowed protocols...   [ OK (Only SSH2 allowed) ]

* Check: Events and Logging
   Search for syslog configuration... found
   Checking for running syslog slave...   [ OK ]
   Checking for logging to remote system...   [ OK (no remote logging) ]


---------------------------- Scan results ----------------------------

MD5
MD5 compared: 0
Incorrect MD5 checksums: 0

File scan
Scanned files: 307
Possible infected files: 0
Possible rootkits: 

Scanning took 39 seconds

-----------------------------------------------------------------------

Do you have some problems, undetected rootkits, false positives, ideas
or suggestions?
Please e-mail me by filling in the contact form (@http://www.rootkit.nl)

-----------------------------------------------------------------------

Und hier ist es so, das wenn es per mail kommt irgendwie kein Networktesting gemacht wird - nur wenn ich es per putty/ssh ausführe.
Vielleicht soll das ja so sein. In der Readme habe ich soweit dazu nichts gefunden.

[a-n]

Hi, hab auch das rootkit.nl installiert und kam folgendes raus !

Code: Select all

 /usr/sbin/xinetd                                           [ BAD ]

Muss ich mir da sorgen machen ?

Und das kam auch noch

Code: Select all

* Filesystem checks
   Checking /dev for suspicious files...                      [ Warning! (unusual files found) ]
---------------------------------------------
Unusual files:
/dev/Tmp:              Linux rev 1.0 ext3 filesystem data (needs journal recovery)
---------------------------------------------
   Scanning for hidden files...                               [ Warning! ]
---------------
/etc/.pwd.lock /etc/.yasuc.conf.swp
---------------
Please inspect:  /etc/.yasuc.conf.swp (data)

[captaincrunch]

Klar: da hilft nur noch "rm -rf /"... ;)
SCNR

Wieso setzt ihr eigentlich alle Tools ein, die ihr nicht versteht? :roll:

[a-n]

Naja hab es bei mir @home probiert und da ist alles im Grünen Bereich !

Aber wieso gerade

Code: Select all

/usr/sbin/xinetd                                           [ BAD ] 

im Server kommt, kann ich nicht verstehen :(

Also brauch ich mir keine sorgen zu machen ?

DANKE

[mmg-media]

Naja hab es bei mir @home probiert und da ist alles im Grünen Bereich !

Aber wieso gerade

Code: Select all

/usr/sbin/xinetd                                           [ BAD ] 

im Server kommt, kann ich nicht verstehen :(

Also brauch ich mir keine sorgen zu machen ?

DANKE

auch wenn die antwort spät kommt.

nein man braucht sich keine sorgen machen, das BAD heißt nur das die checksumme nicht übereinstimmt bzw rootkithunter die checksumme noch nicht kennt.
das passiert bei patch updates oft. ist nicht schlimm in diesem falle