Page 1 of 1
chkrootkit gibt eine warnung aus
Posted: 2006-07-21 14:50
by darkiop
Hallo alle zusammen,
eben habe ich bemerkt das chkrootkit bei dem lkm test Alarm schlägt:
Code: Select all
Checking `lkm'... You have 1 process hidden for readdir command
You have 1 process hidden for ps command
Warning: Possible LKM Trojan installed
Server habe ich eben gleich mal rebootet, hatte nichts gebracht.
Wie kann ich den Übeltäter da aufspüren?
Re: chkrootkit gibt eine warnung aus
Posted: 2006-07-21 14:52
by thorsten
Ist das ein vserver oder ein dedicated Server?
Bei vservern ist diese Meldung anscheinend normal. (war jedenfalls bei mir von Anfang an so und der Provider bestätigte das)
Wenn es ein dedicated ist, geh ins rescue System und scanne nochmal von dort aus den Server.
Re: chkrootkit gibt eine warnung aus
Posted: 2006-07-21 16:23
by lord_pinhead
LKM ist doch glaub ich ein Kernelmodul und du solltest die /etc/modules checken. lsmod wird wahrscheinlich infiziert sein, von daher ist das relativ schwierig alles von Ihm zu finden, er wiedersetzt sich glaub ich sogar einem cat /etc/modules. Neuaufsetzen wäre intelligenter.
Hier wäre eine Methode Ihn zu beseitigen, aber ohne gewähr und du solltest mehr als nur das Verwenden. Im Rescuemode fahren und ein hashvergleich der Dateien machen wenn du einen angelegt hast, ansonsten einfach unter "Shit happend" verbuchen und nach dem neuaufsetzen besser machen.
Re: chkrootkit gibt eine warnung aus
Posted: 2006-07-21 17:35
by zyanklee
denyhosts installiert? andere security-tools? teilweise entdeckt chkrootkit die als potentielle viren ... dann einfach mal die software stoppen bis du weisst welches es ist - umkonfigurieren oder dann davon ausgehen, dass diese meldung immer kommen wird.
Re: chkrootkit gibt eine warnung aus
Posted: 2006-07-23 13:38
by darkiop
Ist das ein vserver oder ein dedicated Server?
Bei vservern ist diese Meldung anscheinend normal. (war jedenfalls bei mir von Anfang an so und der Provider bestätigte das)
Wenn es ein dedicated ist, geh ins rescue System und scanne nochmal von dort aus den Server.
Ja, es handelt sich um einen Vserver von webperoni. Ich werde da mal nachfragen.
denyhosts installiert? andere security-tools?
"tiger" habe ich nochinstalliert.
LKM ist doch glaub ich ein Kernelmodul und du solltest die /etc/modules checken. lsmod wird wahrscheinlich infiziert sein, von daher ist das relativ schwierig alles von Ihm zu finden, er wiedersetzt sich glaub ich sogar einem cat /etc/modules. Neuaufsetzen wäre intelligenter. Hier wäre eine Methode Ihn zu beseitigen, aber ohne gewähr und du solltest mehr als nur das Verwenden. Im Rescuemode fahren und ein hashvergleich der Dateien machen wenn du einen angelegt hast, ansonsten einfach unter "Shit happend" verbuchen und nach dem neuaufsetzen besser machen.
Da es sich um einen Vserver handelt hab ich selbst doch gar keine Kernelmodule.
Bevor ich ihn beseitige, setz ich den Server lieber nochmal neu auf. Das geht mit dem Backup ja recht schnell ;)
Wie legt man so einen Hashvergleich von einem System an? (Debian Sarge)
Re: chkrootkit gibt eine warnung aus
Posted: 2006-07-23 13:44
by wgot
Hallo,
darkiop wrote:a, es handelt sich um einen Vserver von webperoni.
der "normale" oder der RootDS?
Solche Chkrootkit-Treffer sind bei Vservern normal, der versteckte Prozeß ist der Init-Prozeß des Hauptsystems.
Da es sich um einen Vserver handelt hab ich selbst doch gar keine Kernelmodule.
Wenn es sich um eine Vservervariante ohne eigenen Kernel handelt (sind die meisten), dann kannst Du kein LKM-Rootkit draufhaben.
Bevor ich ihn beseitige, setz ich den Server lieber nochmal neu auf.
Danach als allererstes Chkrootkit installieren und laufen lassen, dann weißt Du welche Falschmeldungen normal sind.
Gruß, Wolfgang
Re: chkrootkit gibt eine warnung aus
Posted: 2006-07-23 17:17
by darkiop
Es handelt sich hier um den normalen Vserver.
Das der Fehler bei vservern normal ist hat mir auch google gesagt, allerdings ist es schon ein komisches Gefühl ;)
Aber bevor ich den neu aufsetzen werde, abonniere ich das Testpaket von Webperoni, da bekommt man für ein paar Tage einen Vserver von Webperoni freigeschaltet. Darauf werd ich dann chkrootkit mal laufen lassen.
Re: chkrootkit gibt eine warnung aus
Posted: 2006-07-23 18:34
by flo
Ich hab das auch erst mal schwer schluckend bei meinen vservern gelesen, aber wenn Du keinen Zugriff auf den Kernel bekommst, kriegt den auch kein anderer, der als root auf Deiner Instanz arbeitet - probier auch mal den rkhunter aus, ist IMHO etwas aussagefähiger als chkrootkit.
flo.
Re: chkrootkit gibt eine warnung aus
Posted: 2006-07-23 19:42
by darkiop
Entwarnung.
Habe eben auf einem Testvserver von webperoni chkrootkit ausgefuehrt und die gleiche Warnung bekommen.