RootForum Community

Servus!

Hab mal wieder mein chkrootkit drüberlaufen lassen und nun zeigt mir der "aliens"-Test "/dev/tmp-loop" an. Dies ist eine Binärdatei (was tut sie bei den Devices?) von ca. 260MB Größe. Hab schon danach gegoogelt, aber da gibt's absolut keine Ergebnisse.

Wer ne Ahnung, was das sein könnte?

ich würde vermuten, dass das eine loop Datei für das /tmp Verzeichnis ist, z.b. um es als noexec,nosuid,nodev zu mounten...

mit 260 MB Größe? Nicht viel Platz für tmp
Was sagt denn und evtl. ?
Könnte ja wirklich was maliziöses sein


Ps: msnmessenger, icq, und auch noch ne mail bei hotmail. tse
all of the evil. Wahrscheinlich konnte ich mir den Post sparen

whisper wrote:mit 260 MB Größe? Nicht viel Platz für tmp

Mein /tmp ist auch nur 256 MB groß und es waren noch nie mehr als 10 MB belegt...

whisper wrote:Ps: msnmessenger, icq, und auch noch ne mail bei hotmail. tse
all of the evil. Wahrscheinlich konnte ich mir den Post sparen

Den Kommentar hättest du dir auf jeden Fall sparen können, ja.

Ist keine Executable, strings zeigt allerdings jede Menge Kram aus dem /tmp und danach vieeeele kryptische Zeichen an. Ich denke nicht, dass es was wirklich Gefährliches ist ("aliens" sucht ja auch nur nach Malware-Hinterlassenschaften in Tempfiles etc.).
Könnte durchaus sein, dass sich da zufällig irgendeine Sequenz eingeschlichen hat, die chkrootkit als böse interpretiert. Akuter "Befall" ist nämlich auf dem System nicht festzustellen und bisher auch nicht festzustellen gewesen.

Ja. Blind muss man sein. /tmp ist von "Werk" aus drauf gemountet. Das Naheliegendste zuletzt.
Frage mich allerdings dann trotzdem, was chkrootkit wohl darin finden mag, weil mein /tmp definitiv nichts Malizöses enthält und der Rechner mit 99%iger Sicherheit bisher von nichts befallen war.

EdRoxter wrote:Frage mich allerdings dann trotzdem, was chkrootkit wohl darin finden mag, weil mein /tmp definitiv nichts Malizöses enthält und der Rechner mit 99%iger Sicherheit bisher von nichts befallen war.

chrootkit und Konsorten geben die nur aus, was ihnen seltsam erscheint, also nicht wie ein Virenscanner, der die Signaturen vergleicht. Und eine Datei in /dev/ ist nunmal seltsam[tm]...