Page 1 of 1
chkrootkit
Posted: 2005-09-22 07:07
by marc795
Hallo,
ich habe folgendes Problem.
Ich habe von 1&1 ABUSE ein SSH Log bekommen, dass von meinem Server angeblich versucht wurde, sich auf einen anderen Server per SSH einzuloggen.
Es wurden Passwörter von a-z durchprobiert.
Da ich die externe Firewall von 1&1 nutze und auch ansonsten nichts auf dem Server installiert habe, kann ich mir das nicht erkären.
Ich habe daraufhin das chkrootkit durchgeführt.
Es eigentlich nicht, nur folgende Meldung:
Checking `bindshell'... INFECTED (PORTS: 465)
Was kann man da tun?
Danke für Eure Hilfe
Danke
Re: chkrootkit
Posted: 2005-09-22 07:42
by flo
Hi,
chkrootkit soll warnen, und das tut es nun mal, wennes irgendetwas findet, was nicht in sein Schema paßt - prüfe, ob Du rndc benutzt, das könnte eine Erklärung sein.
Die Firewall hat nichts mit der Ausnutzung von Diensten zu tun, die Du eh über das Internet anbietest. (Ich denke mal, daß Du eingehenden Port 80 nicht gesperrt hast.)
Prüfe Deine Logs, laß zur Not die Mitarbeiter von 1und1 dazu drauf und laß am besten die Kiste danach ganz schnell platt machen - wahrscheinlich macht das auch ganz gerne gleich einer vom Abuse-Team. :-)
flo.
Re: chkrootkit
Posted: 2005-09-23 09:34
by lord_pinhead
Lad dir mal
rkhunder runter und lass den mal durchlaufen mit rkhunter --checkall . Droppe auf jeden Fall jeden Verkehr auf den Zielport 465 und zerleg die Kiste mal bevor du sie neuaufsetzen lässt.
Re: chkrootkit
Posted: 2005-09-23 09:50
by flo
Er muß ja nicht unbedingt ein Rootkit draufhaben - kann ebensogut nur ein eingeschleustes Programm gewesen sein. Sobald Du einen Nameserver benutzt, ist in der Regel auf der Port 465 belegt - die Meldung kommt bei mir auch jeden Tag.
Mal ein anderes Tool zu probieren, halte ich aber für eine sehr vernünftige Lösung, jedoch solltest Du dabei nicht außer Acht lassen, daß das eventuell kein Rootkit gewesen sein könnte. Den Rechner neu aufzusetzen ist Pflicht.
flo.
Re: chkrootkit
Posted: 2005-09-23 11:24
by Roger Wilco
flo wrote:Sobald Du einen Nameserver benutzt, ist in der Regel auf der Port 465 belegt - die Meldung kommt bei mir auch jeden Tag.
Meinst du nicht eher Mailserver? Port 465 ist der Standardport für SMTPS.
Re: chkrootkit
Posted: 2005-09-23 11:32
by captaincrunch
Re: chkrootkit
Posted: 2005-09-23 11:48
by flo
*in Grund und Boden schääm*
953 ist rndc ...
Code: Select all
11:47:52 up 417 days, 10:56, 0 users, load average: 0.00, 0.03, 0.04
Die Konfiguration von chkrootkit ist bei mir schon etwas länger her ...
flo.
Re: chkrootkit
Posted: 2005-09-23 12:19
by killerhorse
Hallo,
Kann es nicht sein, dass auf dem Port einfach ein SMTP-Daemon läuft. SMTPS ist üblicherweise auf port 465. Das reicht schon, dass chkrootkit schreit.
MfG
Christian
EDIT: Sorry war etwas langsam, hab die letzten Posts nicht gesehen, weil ich den Post neben der Arbeit geschrieben habe und da ist es unerwartet stressig geworden.... :-(