"Warning: Possible LKM Trojan installed" auf vServer?

Rund um die Sicherheit des Systems und die Applikationen
wecki
Posts: 101
Joined: 2005-01-27 08:55

"Warning: Possible LKM Trojan installed" auf vServer?

Post by wecki » 2005-11-18 17:59

Hallo,

chkrootkit gab heute folgende 3 Meldungen bei mir aus:

Checking `lkm'... SIGINVISIBLE Adore found
Warning: Possible LKM Trojan installed

Checking `sniffer'... /proc/1/fd: Permission denied

eth0:cweck: not promisc and no packet sniffer sockets

Daher folgende Fragen:
Kann ich überhaupt einen Trojaner im LKM haben wenn es ein vServer ist?

Permission Denied auf dem Floppy is doch auch logisch wenn ich als vServer keins hab oder? :-)

Was sagt "eth0:cweck: not promisc and no packet sniffer sockets" aus? Es kommt direkt nach der Floppy Messege.

Roger Wilco
Administrator
Administrator
Posts: 5924
Joined: 2004-05-23 12:53

Re: "Warning: Possible LKM Trojan installed" auf vServer?

Post by Roger Wilco » 2005-11-18 19:13

wecki wrote:Kann ich überhaupt einen Trojaner im LKM haben wenn es ein vServer ist?
Ja, kannst du, wenn auch keinen, der sich im Kernel einnistet. Wenn doch, dann würde ich schnellst möglich den Provider wechseln.
wecki wrote:Permission Denied auf dem Floppy is doch auch logisch wenn ich als vServer keins hab oder? :-)
Da steht nichts von Floppy...
Aber dass du auf einem vServer nicht auf den/die File-Deskriptoren von init zugreifen darfst, ist normal.

wecki
Posts: 101
Joined: 2005-01-27 08:55

Re: "Warning: Possible LKM Trojan installed" auf vServer?

Post by wecki » 2005-11-18 19:24

LKM Steht aber doch für "Loadable Kernel Module".
Und wenn dort ein trojaner auf einem vServer reinwill muss der ja über des Hostsystem kommen doer?

Roger Wilco
Administrator
Administrator
Posts: 5924
Joined: 2004-05-23 12:53

Re: "Warning: Possible LKM Trojan installed" auf vServer?

Post by Roger Wilco » 2005-11-18 19:32

wecki wrote:Und wenn dort ein trojaner auf einem vServer reinwill muss der ja über des Hostsystem kommen doer?
Ja. Und eben dein Provider muß bei einem vServer dafür sorgen, dass genau das nicht passiert. Du kannst den Kernel ja nicht auswechseln.

Allerdings wäre es nicht das erste mal, dass chrootkit etwas "nervös" auf ihm unbekannte Prozesse und Kernelmodule reagiert.

wecki
Posts: 101
Joined: 2005-01-27 08:55

Re: "Warning: Possible LKM Trojan installed" auf vServer?

Post by wecki » 2005-11-18 19:38

Ok, also heist das für mich, das ich dem Provider erstmal bescheid geben sollte. (rkhuter meldet das auch)

Da ich ja nichts im Kernel machen kann und somit der Kit auch nicht über mich kahm.

wgot
Posts: 1675
Joined: 2003-07-06 02:03

Re: "Warning: Possible LKM Trojan installed" auf vServer?

Post by wgot » 2005-11-18 20:34

Hallo,

falls es sich bei dem Virtualisierungssystem um CTX handelt (ist bei allen billigen Vservern praktisch sicher) ist diese Meldung normal, sie wird durch den versteckt eingeblendeten Init-Prozeß des Haupthosts ausgelöst.

Auf diesen Vservern kann innerhalb des Vservers kein LKM-Rootkit installiert werden, und wenn eines auf dem Haupthost sein sollte kann das chkrootkit im Vserver ausgeführt nicht erkennen.

Also (sofern CTX) blinder Alarm.

Chkrootkit kann keine Rootkits erkennen sondern lediglich Indizien finden, auf fast jedem Server findet es mindestens ein Indiz. Deshalb ist es sinnvoll (sofern man chkrootkit überhaupt für sinnvoll hält) es auf dem frisch installierten (V)Server laufen zu lassen und sich zu merken was es dabei gefunden hat und diese Meldung zu ignorieren.

Gruß, Wolfgang