Adore Rootkit

Rund um die Sicherheit des Systems und die Applikationen
int25
Posts: 13
Joined: 2003-10-21 00:03

Adore Rootkit

Post by int25 » 2004-02-13 01:20

Moin, moin,

wenn ich den Output von chkrootkit richtig interpretiere, dann haben wir uns wohl ein Adore LKm eingefangen.

chkrootkit -x lkm
ROOTDIR is `/'
###
### Output of: ./chkproc -v -v
###
SIGINVISIBLE Adore found


Wie ist damit zur Bereinigung umzugehen ?
Und - falls Neuinstallation unumgaenglich - welche alten Configdaten kann ich uebernehmen ?

Und hat hier jemandeinen Tip, durch welches Loch er gekrochen sein kann ?

Wir haben Apache, PHP, MYSQL und Jabber laufen (inkl. ein Java-ChatApplet nach Jabber).

dank für zielführende Hinweise

wgot
Posts: 1675
Joined: 2003-07-06 02:03

Re: Adore Rootkit

Post by wgot » 2004-02-13 01:26

Hallo,

ist es ein Vserver?

Kann Fehlmeldung sein bedingt durch Vserver-Technik.

Gruß, Wolfgang

int25
Posts: 13
Joined: 2003-10-21 00:03

Adore Rootkit

Post by int25 » 2004-02-13 02:05

es ist tatsächlich ein VServer.

Woran kann ich ggf. erkennen, ob es ein Fehlalarm ist ?

wgot
Posts: 1675
Joined: 2003-07-06 02:03

Re: Adore Rootkit

Post by wgot » 2004-02-13 02:24

Hallo,

ich hatte das pragmatisch nachgewiesen: Vserver frisch aussetzen lassen, gleich danach chkrootkit installiert und Meldung war wieder da. (Neueinrichtung war für mich kein Problem, da Vserver ganz neu und ich noch am ausprobieren).

LKM steht für Loadable Kernel Module. Da man beim Vserver keinen eigenen Kernel hat und keine Module in den Gemeinschaftskernel laden kann, kann man sich meiner Meinung nach kein LKM einfangen.

Wenn Du googlest: Es gibt auch einen Adore-Wurm, das ist was anderes.

Gruß, Wolfgang

int25
Posts: 13
Joined: 2003-10-21 00:03

Adore

Post by int25 » 2004-02-13 02:46

heisst das, der ISP hat den Adore vorinstalliert ?

wgot
Posts: 1675
Joined: 2003-07-06 02:03

Re: Adore Rootkit

Post by wgot » 2004-02-13 09:58

Hallo,

chkrootkit liefert keine sicheren Aussagen, weder positiv noch negativ.

Es hat Veränderungen am Kernel festgestellt, die ein Befall mit Adore sein könnten. Vserver-Kernel sind gegenüber Standard-Kernel deutlich verändert, chkrootkit ist reingefallen.

Soweit meine Meinung, bin mal gespannt, was die Sicherheitsexperten dazu sagen.

Gruß, Wolfgang

int25
Posts: 13
Joined: 2003-10-21 00:03

Adore & Pachet Sniffer

Post by int25 » 2004-02-14 01:19

weitere Unklarheiten:
Checking `bindshell'... INFECTED (PORTS: 1524 31337)
Checking `lkm'... SIGINVISIBLE Adore found
Warning: Possible LKM Trojan installed
Checking `rexedcs'... not found
Checking `sniffer'... /proc/1/fd: Permission denied
eth0:vs39a: PACKET SNIFFER((null)[(null)])
Checking `w55808'... not infected
Checking `wted'... nothing deleted
Checking `scalper'... not infected
Checking `slapper'... not infected
Checking `z2'... nothing deleted
insbesondere der Packet Sniffer macht uns Kopfschmerzen