Page 1 of 1
CHKROOTKIT Meldungen ?
Posted: 2005-11-12 16:57
by bierteufel
Hi,
ich hab mal das CHKROOTKIT bei mir laufen lassen und bin etwas über folgende Ausgaben verstutzt:
Checking `find'... INFECTED
Checking `ls'... INFECTED
Checking `ps'... INFECTED
Checking `top'... INFECTED
Checking `bindshell'... INFECTED (PORTS: 465)
Alles andere ist OK. Woran kann dies liegen ?
Nachtrag: (PORTS: 465) ist OK, da ich da nen SMTPS laufen habe..
Re: CHKROOTKIT Meldungen ?
Posted: 2005-11-13 01:19
by chris76
Bierteufel wrote:
Alles andere ist OK. Woran kann dies liegen ?
Was willst du hören? verm. an nem erfolgreichen Einbruch?!
Re: CHKROOTKIT Meldungen ?
Posted: 2005-11-13 10:19
by bierteufel
Na daran glaub ich nicht .
Mich würde interessieren, warum diese Files corrupted sind oder wie ich Sie fixen kann !!
Re: CHKROOTKIT Meldungen ?
Posted: 2005-11-13 10:31
by Joe User
Bierteufel wrote:Na daran glaub ich nicht .
Und warum nicht?
Bierteufel wrote:Mich würde interessieren, warum diese Files corrupted sind oder wie ich Sie fixen kann !!
Gar nicht.
Re: CHKROOTKIT Meldungen ?
Posted: 2005-11-13 10:37
by bierteufel
Und warum nicht?
Weil der Rechner neben mir steht, Neu aufgesetzt ist, und noch nicht im NETZ war :-)
Es muss doch aber ne Ursache für die Anzeige INFECTED geben ??
Re: CHKROOTKIT Meldungen ?
Posted: 2005-11-13 11:16
by lord_pinhead
Rofl, der war gut :D
Also welches OS hast du, sind neue Updates drauf etc. Hast du chkrootkit aus den Sourcen gebuildet oder per RPM von deinen Distributor geholt. Wie prüft chkrootkit den die Files, wurde da bei Buildprozess nicht eine Hashtabelle mit geführt? Oder verwechsel ich das atm. mit Tripwire :roll:
Re: CHKROOTKIT Meldungen ?
Posted: 2005-11-13 13:08
by outofbound
was läuft auf port 465? Wenns ne Shell ist, dürfte die sache klar sein.
Wie mein Vorposter schon: Wenns ein Inselsystem ist, dann helfen nur genauere Infos über das System. Sind die Installationsmedien auch "sicher" gewesen? Die könnten ja schon infected gewesen sein. Wurden Backups eingespielt? Waren die evtl. infiziert?
Um infiziert zu werden braucht man nicht unbedingt Netz. ;)
Ansonsten: Files genauer anschauen...
Gruss,
Out
Re: CHKROOTKIT Meldungen ?
Posted: 2005-11-13 18:39
by schl
Ã?hm, diese Meldung bekommt wahrscheinlich jeder, der diese Prüfung durchführt. Egal ob Linux Server oder Palm
Ich sage nur Forumsuche :!:
Re: CHKROOTKIT Meldungen ?
Posted: 2005-11-14 07:08
by bierteufel
- Suse 9.1 (Original)
- CHROOTKIT selber gebaut
- Updates eingespielt, Quelle auch hier sauber
- Würde es was bringen die einzelnen Files welche als INFECTED markiert sind zu ersetzen ?
Danke Bierteufel
Re: CHKROOTKIT Meldungen ?
Posted: 2005-11-14 10:57
by schl
nein