chkrootkit

Post by **marc795** » 2005-09-22 07:07

Hallo,

ich habe folgendes Problem.
Ich habe von 1&1 ABUSE ein SSH Log bekommen, dass von meinem Server angeblich versucht wurde, sich auf einen anderen Server per SSH einzuloggen.
Es wurden Passwörter von a-z durchprobiert.
Da ich die externe Firewall von 1&1 nutze und auch ansonsten nichts auf dem Server installiert habe, kann ich mir das nicht erkären.
Ich habe daraufhin das chkrootkit durchgeführt.
Es eigentlich nicht, nur folgende Meldung:
Checking `bindshell'... INFECTED (PORTS: 465)
Was kann man da tun?

Danke für Eure Hilfe

Danke

Post by **flo** » 2005-09-22 07:42

Hi,

chkrootkit soll warnen, und das tut es nun mal, wennes irgendetwas findet, was nicht in sein Schema paßt - prüfe, ob Du rndc benutzt, das könnte eine Erklärung sein.

Die Firewall hat nichts mit der Ausnutzung von Diensten zu tun, die Du eh über das Internet anbietest. (Ich denke mal, daß Du eingehenden Port 80 nicht gesperrt hast.)

Prüfe Deine Logs, laß zur Not die Mitarbeiter von 1und1 dazu drauf und laß am besten die Kiste danach ganz schnell platt machen - wahrscheinlich macht das auch ganz gerne gleich einer vom Abuse-Team. :-)

flo.

Post by **lord_pinhead** » 2005-09-23 09:34

Lad dir mal rkhunder runter und lass den mal durchlaufen mit rkhunter --checkall . Droppe auf jeden Fall jeden Verkehr auf den Zielport 465 und zerleg die Kiste mal bevor du sie neuaufsetzen lässt.

Post by **flo** » 2005-09-23 09:50

Er muß ja nicht unbedingt ein Rootkit draufhaben - kann ebensogut nur ein eingeschleustes Programm gewesen sein. Sobald Du einen Nameserver benutzt, ist in der Regel auf der Port 465 belegt - die Meldung kommt bei mir auch jeden Tag.

Mal ein anderes Tool zu probieren, halte ich aber für eine sehr vernünftige Lösung, jedoch solltest Du dabei nicht außer Acht lassen, daß das eventuell kein Rootkit gewesen sein könnte. Den Rechner neu aufzusetzen ist Pflicht.

flo.

Post by **Roger Wilco** » 2005-09-23 11:24

flo wrote:Sobald Du einen Nameserver benutzt, ist in der Regel auf der Port 465 belegt - die Meldung kommt bei mir auch jeden Tag.

Meinst du nicht eher Mailserver? Port 465 ist der Standardport für SMTPS.

Post by **captaincrunch** » 2005-09-23 11:32

Ã?ööööhm...

http://www.rootforum.org/faq/index.php? ... artlang=de

Post by **flo** » 2005-09-23 11:48

*in Grund und Boden schääm*

953 ist rndc ...

Code: Select all

11:47:52 up 417 days, 10:56,  0 users,  load average: 0.00, 0.03, 0.04

Die Konfiguration von chkrootkit ist bei mir schon etwas länger her ...

flo.

Post by **killerhorse** » 2005-09-23 12:19

Hallo,

Kann es nicht sein, dass auf dem Port einfach ein SMTP-Daemon läuft. SMTPS ist üblicherweise auf port 465. Das reicht schon, dass chkrootkit schreit.

MfG

Christian

EDIT: Sorry war etwas langsam, hab die letzten Posts nicht gesehen, weil ich den Post neben der Arbeit geschrieben habe und da ist es unerwartet stressig geworden.... :-(

RootForum Community

chkrootkit

chkrootkit

Re: chkrootkit

Re: chkrootkit

Re: chkrootkit

Re: chkrootkit

Re: chkrootkit

Re: chkrootkit

Re: chkrootkit