chkrootkit

Rund um die Sicherheit des Systems und die Applikationen
marc795
Posts: 7
Joined: 2005-08-19 08:55

chkrootkit

Post by marc795 » 2005-09-22 07:07

Hallo,

ich habe folgendes Problem.
Ich habe von 1&1 ABUSE ein SSH Log bekommen, dass von meinem Server angeblich versucht wurde, sich auf einen anderen Server per SSH einzuloggen.
Es wurden Passwörter von a-z durchprobiert.
Da ich die externe Firewall von 1&1 nutze und auch ansonsten nichts auf dem Server installiert habe, kann ich mir das nicht erkären.
Ich habe daraufhin das chkrootkit durchgeführt.
Es eigentlich nicht, nur folgende Meldung:
Checking `bindshell'... INFECTED (PORTS: 465)
Was kann man da tun?

Danke für Eure Hilfe

Danke

flo
Posts: 2223
Joined: 2002-07-28 13:02
Location: Berlin

Re: chkrootkit

Post by flo » 2005-09-22 07:42

Hi,

chkrootkit soll warnen, und das tut es nun mal, wennes irgendetwas findet, was nicht in sein Schema paßt - prüfe, ob Du rndc benutzt, das könnte eine Erklärung sein.

Die Firewall hat nichts mit der Ausnutzung von Diensten zu tun, die Du eh über das Internet anbietest. (Ich denke mal, daß Du eingehenden Port 80 nicht gesperrt hast.)

Prüfe Deine Logs, laß zur Not die Mitarbeiter von 1und1 dazu drauf und laß am besten die Kiste danach ganz schnell platt machen - wahrscheinlich macht das auch ganz gerne gleich einer vom Abuse-Team. :-)

flo.

lord_pinhead
Posts: 774
Joined: 2004-04-26 15:57

Re: chkrootkit

Post by lord_pinhead » 2005-09-23 09:34

Lad dir mal rkhunder runter und lass den mal durchlaufen mit rkhunter --checkall . Droppe auf jeden Fall jeden Verkehr auf den Zielport 465 und zerleg die Kiste mal bevor du sie neuaufsetzen lässt.

flo
Posts: 2223
Joined: 2002-07-28 13:02
Location: Berlin

Re: chkrootkit

Post by flo » 2005-09-23 09:50

Er muß ja nicht unbedingt ein Rootkit draufhaben - kann ebensogut nur ein eingeschleustes Programm gewesen sein. Sobald Du einen Nameserver benutzt, ist in der Regel auf der Port 465 belegt - die Meldung kommt bei mir auch jeden Tag.

Mal ein anderes Tool zu probieren, halte ich aber für eine sehr vernünftige Lösung, jedoch solltest Du dabei nicht außer Acht lassen, daß das eventuell kein Rootkit gewesen sein könnte. Den Rechner neu aufzusetzen ist Pflicht.

flo.

Roger Wilco
Administrator
Administrator
Posts: 5924
Joined: 2004-05-23 12:53

Re: chkrootkit

Post by Roger Wilco » 2005-09-23 11:24

flo wrote:Sobald Du einen Nameserver benutzt, ist in der Regel auf der Port 465 belegt - die Meldung kommt bei mir auch jeden Tag.
Meinst du nicht eher Mailserver? Port 465 ist der Standardport für SMTPS.

captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: chkrootkit

Post by captaincrunch » 2005-09-23 11:32

DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

flo
Posts: 2223
Joined: 2002-07-28 13:02
Location: Berlin

Re: chkrootkit

Post by flo » 2005-09-23 11:48

*in Grund und Boden schääm*

953 ist rndc ...

Code: Select all

11:47:52 up 417 days, 10:56,  0 users,  load average: 0.00, 0.03, 0.04
Die Konfiguration von chkrootkit ist bei mir schon etwas länger her ...

flo.

killerhorse
Posts: 78
Joined: 2004-06-16 03:33

Re: chkrootkit

Post by killerhorse » 2005-09-23 12:19

Hallo,

Kann es nicht sein, dass auf dem Port einfach ein SMTP-Daemon läuft. SMTPS ist üblicherweise auf port 465. Das reicht schon, dass chkrootkit schreit.

MfG

Christian


EDIT: Sorry war etwas langsam, hab die letzten Posts nicht gesehen, weil ich den Post neben der Arbeit geschrieben habe und da ist es unerwartet stressig geworden.... :-(