Hallo,
chkrootkit gab heute folgende 3 Meldungen bei mir aus:
Checking `lkm'... SIGINVISIBLE Adore found
Warning: Possible LKM Trojan installed
Checking `sniffer'... /proc/1/fd: Permission denied
eth0:cweck: not promisc and no packet sniffer sockets
Daher folgende Fragen:
Kann ich überhaupt einen Trojaner im LKM haben wenn es ein vServer ist?
Permission Denied auf dem Floppy is doch auch logisch wenn ich als vServer keins hab oder? :-)
Was sagt "eth0:cweck: not promisc and no packet sniffer sockets" aus? Es kommt direkt nach der Floppy Messege.
"Warning: Possible LKM Trojan installed" auf vServer?
-
Roger Wilco
- Posts: 5923
- Joined: 2004-05-23 12:53
Re: "Warning: Possible LKM Trojan installed" auf vServer?
Ja, kannst du, wenn auch keinen, der sich im Kernel einnistet. Wenn doch, dann würde ich schnellst möglich den Provider wechseln.wecki wrote:Kann ich überhaupt einen Trojaner im LKM haben wenn es ein vServer ist?
Da steht nichts von Floppy...wecki wrote:Permission Denied auf dem Floppy is doch auch logisch wenn ich als vServer keins hab oder? :-)
Aber dass du auf einem vServer nicht auf den/die File-Deskriptoren von init zugreifen darfst, ist normal.
-
wecki
- Posts: 101
- Joined: 2005-01-27 08:55
Re: "Warning: Possible LKM Trojan installed" auf vServer?
LKM Steht aber doch für "Loadable Kernel Module".
Und wenn dort ein trojaner auf einem vServer reinwill muss der ja über des Hostsystem kommen doer?
Und wenn dort ein trojaner auf einem vServer reinwill muss der ja über des Hostsystem kommen doer?
-
Roger Wilco
- Posts: 5923
- Joined: 2004-05-23 12:53
Re: "Warning: Possible LKM Trojan installed" auf vServer?
Ja. Und eben dein Provider muß bei einem vServer dafür sorgen, dass genau das nicht passiert. Du kannst den Kernel ja nicht auswechseln.wecki wrote:Und wenn dort ein trojaner auf einem vServer reinwill muss der ja über des Hostsystem kommen doer?
Allerdings wäre es nicht das erste mal, dass chrootkit etwas "nervös" auf ihm unbekannte Prozesse und Kernelmodule reagiert.
-
wecki
- Posts: 101
- Joined: 2005-01-27 08:55
Re: "Warning: Possible LKM Trojan installed" auf vServer?
Ok, also heist das für mich, das ich dem Provider erstmal bescheid geben sollte. (rkhuter meldet das auch)
Da ich ja nichts im Kernel machen kann und somit der Kit auch nicht über mich kahm.
Da ich ja nichts im Kernel machen kann und somit der Kit auch nicht über mich kahm.
-
wgot
- Posts: 1675
- Joined: 2003-07-06 02:03
Re: "Warning: Possible LKM Trojan installed" auf vServer?
Hallo,
falls es sich bei dem Virtualisierungssystem um CTX handelt (ist bei allen billigen Vservern praktisch sicher) ist diese Meldung normal, sie wird durch den versteckt eingeblendeten Init-Prozeß des Haupthosts ausgelöst.
Auf diesen Vservern kann innerhalb des Vservers kein LKM-Rootkit installiert werden, und wenn eines auf dem Haupthost sein sollte kann das chkrootkit im Vserver ausgeführt nicht erkennen.
Also (sofern CTX) blinder Alarm.
Chkrootkit kann keine Rootkits erkennen sondern lediglich Indizien finden, auf fast jedem Server findet es mindestens ein Indiz. Deshalb ist es sinnvoll (sofern man chkrootkit überhaupt für sinnvoll hält) es auf dem frisch installierten (V)Server laufen zu lassen und sich zu merken was es dabei gefunden hat und diese Meldung zu ignorieren.
Gruß, Wolfgang
falls es sich bei dem Virtualisierungssystem um CTX handelt (ist bei allen billigen Vservern praktisch sicher) ist diese Meldung normal, sie wird durch den versteckt eingeblendeten Init-Prozeß des Haupthosts ausgelöst.
Auf diesen Vservern kann innerhalb des Vservers kein LKM-Rootkit installiert werden, und wenn eines auf dem Haupthost sein sollte kann das chkrootkit im Vserver ausgeführt nicht erkennen.
Also (sofern CTX) blinder Alarm.
Chkrootkit kann keine Rootkits erkennen sondern lediglich Indizien finden, auf fast jedem Server findet es mindestens ein Indiz. Deshalb ist es sinnvoll (sofern man chkrootkit überhaupt für sinnvoll hält) es auf dem frisch installierten (V)Server laufen zu lassen und sich zu merken was es dabei gefunden hat und diese Meldung zu ignorieren.
Gruß, Wolfgang