RootForum Community

Resources for System-Administrators
https://www.rootforum.org/forum/

Adore Rootkit

https://www.rootforum.org/forum/viewtopic.php?t=23012

Page 1 of 1

Adore Rootkit

Posted: 2004-02-13 01:20
by int25
Moin, moin,

wenn ich den Output von chkrootkit richtig interpretiere, dann haben wir uns wohl ein Adore LKm eingefangen.

chkrootkit -x lkm
ROOTDIR is `/'
###
### Output of: ./chkproc -v -v
###
SIGINVISIBLE Adore found


Wie ist damit zur Bereinigung umzugehen ?
Und - falls Neuinstallation unumgaenglich - welche alten Configdaten kann ich uebernehmen ?

Und hat hier jemandeinen Tip, durch welches Loch er gekrochen sein kann ?

Wir haben Apache, PHP, MYSQL und Jabber laufen (inkl. ein Java-ChatApplet nach Jabber).

dank für zielführende Hinweise

Re: Adore Rootkit

Posted: 2004-02-13 01:26
by wgot
Hallo,

ist es ein Vserver?

Kann Fehlmeldung sein bedingt durch Vserver-Technik.

Gruß, Wolfgang

Adore Rootkit

Posted: 2004-02-13 02:05
by int25
es ist tatsächlich ein VServer.

Woran kann ich ggf. erkennen, ob es ein Fehlalarm ist ?

Re: Adore Rootkit

Posted: 2004-02-13 02:24
by wgot
Hallo,

ich hatte das pragmatisch nachgewiesen: Vserver frisch aussetzen lassen, gleich danach chkrootkit installiert und Meldung war wieder da. (Neueinrichtung war für mich kein Problem, da Vserver ganz neu und ich noch am ausprobieren).

LKM steht für Loadable Kernel Module. Da man beim Vserver keinen eigenen Kernel hat und keine Module in den Gemeinschaftskernel laden kann, kann man sich meiner Meinung nach kein LKM einfangen.

Wenn Du googlest: Es gibt auch einen Adore-Wurm, das ist was anderes.

Gruß, Wolfgang

Adore

Posted: 2004-02-13 02:46
by int25
heisst das, der ISP hat den Adore vorinstalliert ?

Re: Adore Rootkit

Posted: 2004-02-13 09:58
by wgot
Hallo,

chkrootkit liefert keine sicheren Aussagen, weder positiv noch negativ.

Es hat Veränderungen am Kernel festgestellt, die ein Befall mit Adore sein könnten. Vserver-Kernel sind gegenüber Standard-Kernel deutlich verändert, chkrootkit ist reingefallen.

Soweit meine Meinung, bin mal gespannt, was die Sicherheitsexperten dazu sagen.

Gruß, Wolfgang

Adore & Pachet Sniffer

Posted: 2004-02-14 01:19
by int25
weitere Unklarheiten:
Checking `bindshell'... INFECTED (PORTS: 1524 31337)
Checking `lkm'... SIGINVISIBLE Adore found
Warning: Possible LKM Trojan installed
Checking `rexedcs'... not found
Checking `sniffer'... /proc/1/fd: Permission denied
eth0:vs39a: PACKET SNIFFER((null)[(null)])
Checking `w55808'... not infected
Checking `wted'... nothing deleted
Checking `scalper'... not infected
Checking `slapper'... not infected
Checking `z2'... nothing deleted
insbesondere der Packet Sniffer macht uns Kopfschmerzen
All times are UTC+02:00
Page 1 of 1