CHKROOTKIT Meldungen ?

Rund um die Sicherheit des Systems und die Applikationen
bierteufel
Posts: 17
Joined: 2005-03-09 10:43

CHKROOTKIT Meldungen ?

Post by bierteufel » 2005-11-12 16:57

Hi,

ich hab mal das CHKROOTKIT bei mir laufen lassen und bin etwas über folgende Ausgaben verstutzt:

Checking `find'... INFECTED
Checking `ls'... INFECTED
Checking `ps'... INFECTED
Checking `top'... INFECTED
Checking `bindshell'... INFECTED (PORTS: 465)

Alles andere ist OK. Woran kann dies liegen ?


Nachtrag: (PORTS: 465) ist OK, da ich da nen SMTPS laufen habe..

chris76
Moderator
Moderator
Posts: 1878
Joined: 2003-06-27 14:37
Location: Germering

Re: CHKROOTKIT Meldungen ?

Post by chris76 » 2005-11-13 01:19

Bierteufel wrote: Alles andere ist OK. Woran kann dies liegen ?
Was willst du hören? verm. an nem erfolgreichen Einbruch?!
Gruß Christian

BofH excuses: YOU HAVE AN I/O ERROR -> Incompetent Operator error

bierteufel
Posts: 17
Joined: 2005-03-09 10:43

Re: CHKROOTKIT Meldungen ?

Post by bierteufel » 2005-11-13 10:19

Na daran glaub ich nicht .
Mich würde interessieren, warum diese Files corrupted sind oder wie ich Sie fixen kann !!

User avatar
Joe User
Project Manager
Project Manager
Posts: 11139
Joined: 2003-02-27 01:00
Location: Hamburg

Re: CHKROOTKIT Meldungen ?

Post by Joe User » 2005-11-13 10:31

Bierteufel wrote:Na daran glaub ich nicht .
Und warum nicht?
Bierteufel wrote:Mich würde interessieren, warum diese Files corrupted sind oder wie ich Sie fixen kann !!
Gar nicht.
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

bierteufel
Posts: 17
Joined: 2005-03-09 10:43

Re: CHKROOTKIT Meldungen ?

Post by bierteufel » 2005-11-13 10:37

Und warum nicht?
Weil der Rechner neben mir steht, Neu aufgesetzt ist, und noch nicht im NETZ war :-)

Es muss doch aber ne Ursache für die Anzeige INFECTED geben ??

lord_pinhead
Posts: 774
Joined: 2004-04-26 15:57

Re: CHKROOTKIT Meldungen ?

Post by lord_pinhead » 2005-11-13 11:16

Rofl, der war gut :D
Also welches OS hast du, sind neue Updates drauf etc. Hast du chkrootkit aus den Sourcen gebuildet oder per RPM von deinen Distributor geholt. Wie prüft chkrootkit den die Files, wurde da bei Buildprozess nicht eine Hashtabelle mit geführt? Oder verwechsel ich das atm. mit Tripwire :roll:

outofbound
Posts: 470
Joined: 2002-05-14 13:02
Location: Karlsruhe City

Re: CHKROOTKIT Meldungen ?

Post by outofbound » 2005-11-13 13:08

was läuft auf port 465? Wenns ne Shell ist, dürfte die sache klar sein.

Wie mein Vorposter schon: Wenns ein Inselsystem ist, dann helfen nur genauere Infos über das System. Sind die Installationsmedien auch "sicher" gewesen? Die könnten ja schon infected gewesen sein. Wurden Backups eingespielt? Waren die evtl. infiziert?

Um infiziert zu werden braucht man nicht unbedingt Netz. ;)

Ansonsten: Files genauer anschauen...

Gruss,

Out

schl
Posts: 343
Joined: 2003-02-05 11:26
Location: München/Unterschleißheim

Re: CHKROOTKIT Meldungen ?

Post by schl » 2005-11-13 18:39

Ã?hm, diese Meldung bekommt wahrscheinlich jeder, der diese Prüfung durchführt. Egal ob Linux Server oder Palm :wink:

Ich sage nur Forumsuche :!:

bierteufel
Posts: 17
Joined: 2005-03-09 10:43

Re: CHKROOTKIT Meldungen ?

Post by bierteufel » 2005-11-14 07:08

- Suse 9.1 (Original)
- CHROOTKIT selber gebaut
- Updates eingespielt, Quelle auch hier sauber

- Würde es was bringen die einzelnen Files welche als INFECTED markiert sind zu ersetzen ?

Danke Bierteufel

schl
Posts: 343
Joined: 2003-02-05 11:26
Location: München/Unterschleißheim

Re: CHKROOTKIT Meldungen ?

Post by schl » 2005-11-14 10:57

nein