chkrootkit & bindshell

Rund um die Sicherheit des Systems und die Applikationen
theomega
Userprojekt
Userprojekt
Posts: 696
Joined: 2003-01-27 14:36
 

chkrootkit & bindshell

Post by theomega »

Hallo
ich habe gerade, weil ich es hier in einigen Threads gelesen habe, das chkrootkit runtergeladen und auf meinem rootserver ausgeführt. Dass lief auch fast problemlos durch, nur eine Linie beunruhigt mich:

"Checking `bindshell'... INFECTED (PORTS: 465)"

Das hört sich ja garnicht gut an. Was hat das zu bedeuten?

Hier noch meine Betriebssystemdaten:

Suse 8.1 (Update vom Support)
PHP 4.2.6

Zusätzlich installierte Programme:
- AWStats
- Midnight-Commander

Sonst ist nichts am System verändert (meinerseits)

Ein Portscan zeigt mir, dass der Port offen ist und mit "ssmtp" beschriftet wird.

Hier noch die Ausgaben von ein Paar Scripten

Code: Select all

netstat -an
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State
tcp        0      0 0.0.0.0:995             0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:110             0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:465             0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:21              0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:25              0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:443             0.0.0.0:*               LISTEN
tcp        0      0 217.160.133.26:80       217.83.42.112:2582      ESTABLISHED
tcp        0  78840 217.160.133.26:80       193.159.138.207:33755   ESTABLISHED
tcp        0      0 217.160.133.26:80       217.83.42.112:2578      TIME_WAIT
tcp        0      0 217.160.133.26:80       217.83.42.112:2576      ESTABLISHED
tcp        0      0 217.160.133.26:110      212.95.103.34:64719     TIME_WAIT
tcp        0      0 217.160.133.26:22       217.230.12.104:23763    ESTABLISHED
tcp        0      0 217.160.133.26:80       195.93.66.6:58377       ESTABLISHED
tcp        0      0 217.160.133.26:80       80.133.183.81:57934     TIME_WAIT
tcp        0      0 217.160.133.26:80       80.130.147.210:1655     ESTABLISHED
tcp        0      0 217.160.133.26:80       80.130.147.210:1654     ESTABLISHED
tcp        0      0 217.160.133.26:80       195.93.66.16:51878      ESTABLISHED
tcp        0      0 217.160.133.26:80       217.83.42.112:2574      ESTABLISHED
tcp        0      0 217.160.133.26:80       80.133.148.24:2158      ESTABLISHED
tcp        0      0 217.160.133.26:80       193.159.138.207:33762   TIME_WAIT
tcp        0      0 217.160.133.26:80       217.83.42.112:2575      ESTABLISHED
tcp        0      0 217.160.133.26:80       80.133.148.24:2159      ESTABLISHED
tcp        0      0 217.160.133.26:80       80.130.147.210:1657     ESTABLISHED
tcp        0      0 217.160.133.26:80       217.83.42.112:2572      TIME_WAIT
tcp        0      0 217.160.133.26:80       80.133.148.24:2156      ESTABLISHED
tcp        0      0 217.160.133.26:80       217.83.42.112:2573      ESTABLISHED
tcp        0      0 217.160.133.26:80       195.93.64.13:49939      ESTABLISHED
tcp        0      0 217.160.133.26:80       217.83.42.112:2571      ESTABLISHED
tcp        0      0 217.160.133.26:80       80.133.148.24:2152      ESTABLISHED
tcp        0      0 217.160.133.26:80       195.93.65.12:37681      ESTABLISHED
tcp        0      0 217.160.133.26:80       80.133.148.24:2153      ESTABLISHED
udp        0      0 0.0.0.0:68              0.0.0.0:*
udp        0      0 217.160.133.26:123      0.0.0.0:*
udp        0      0 127.0.0.1:123           0.0.0.0:*
udp        0      0 0.0.0.0:123             0.0.0.0:*
Active UNIX domain sockets (servers and established)
Proto RefCnt Flags       Type       State         I-Node Path
unix  2      [ ACC ]     STREAM     LISTENING     3367   /var/run/.nscd_socket
unix  2      [ ACC ]     STREAM     LISTENING     1098   /var/lib/mysql/mysql.sock
unix  2      [ ACC ]     STREAM     LISTENING     1663   public/cleanup
unix  2      [ ACC ]     STREAM     LISTENING     1776   public/flush
unix  2      [ ACC ]     STREAM     LISTENING     1784   public/showq
unix  2      [ ACC ]     STREAM     LISTENING     1670   private/rewrite
unix  2      [ ACC ]     STREAM     LISTENING     1768   private/bounce
unix  2      [ ACC ]     STREAM     LISTENING     1772   private/defer
unix  2      [ ACC ]     STREAM     LISTENING     1780   private/smtp
unix  2      [ ACC ]     STREAM     LISTENING     1788   private/error
unix  2      [ ACC ]     STREAM     LISTENING     1792   private/local
unix  2      [ ACC ]     STREAM     LISTENING     1796   private/virtual
unix  2      [ ACC ]     STREAM     LISTENING     1800   private/lmtp
unix  2      [ ACC ]     STREAM     LISTENING     1804   private/cyrus
unix  2      [ ACC ]     STREAM     LISTENING     1808   private/uucp
unix  2      [ ACC ]     STREAM     LISTENING     1812   private/ifmail
unix  2      [ ACC ]     STREAM     LISTENING     1816   private/bsmtp
unix  2      [ ACC ]     STREAM     LISTENING     1820   private/vscan
unix  2      [ ACC ]     STREAM     LISTENING     1824   private/procmail
unix  11     [ ]         DGRAM                    938    /dev/log
unix  2      [ ]         DGRAM                    1034014
unix  2      [ ]         DGRAM                    1016173
unix  2      [ ]         DGRAM                    285079
unix  3      [ ]         STREAM     CONNECTED     285050
unix  3      [ ]         STREAM     CONNECTED     285049
unix  3      [ ]         STREAM     CONNECTED     285048
unix  3      [ ]         STREAM     CONNECTED     285047
unix  3      [ ]         STREAM     CONNECTED     285046
unix  3      [ ]         STREAM     CONNECTED     285045
unix  3      [ ]         STREAM     CONNECTED     285044
unix  3      [ ]         STREAM     CONNECTED     285043
unix  3      [ ]         STREAM     CONNECTED     285042
unix  3      [ ]         STREAM     CONNECTED     285041
unix  3      [ ]         STREAM     CONNECTED     285040
unix  3      [ ]         STREAM     CONNECTED     285039
unix  3      [ ]         STREAM     CONNECTED     285038
unix  3      [ ]         STREAM     CONNECTED     285037
unix  3      [ ]         STREAM     CONNECTED     285036
unix  3      [ ]         STREAM     CONNECTED     285035
unix  3      [ ]         STREAM     CONNECTED     285034
unix  3      [ ]         STREAM     CONNECTED     285033
unix  3      [ ]         STREAM     CONNECTED     285030
unix  3      [ ]         STREAM     CONNECTED     285029
unix  3      [ ]         STREAM     CONNECTED     285028
unix  3      [ ]         STREAM     CONNECTED     285027
unix  3      [ ]         STREAM     CONNECTED     285026
unix  3      [ ]         STREAM     CONNECTED     285025
unix  3      [ ]         STREAM     CONNECTED     285024
unix  3      [ ]         STREAM     CONNECTED     285023
unix  3      [ ]         STREAM     CONNECTED     285022
unix  3      [ ]         STREAM     CONNECTED     285021
unix  3      [ ]         STREAM     CONNECTED     285020
unix  3      [ ]         STREAM     CONNECTED     285019
unix  3      [ ]         STREAM     CONNECTED     285018
unix  3      [ ]         STREAM     CONNECTED     285017
unix  3      [ ]         STREAM     CONNECTED     285016
unix  3      [ ]         STREAM     CONNECTED     285015
unix  3      [ ]         STREAM     CONNECTED     285014
unix  3      [ ]         STREAM     CONNECTED     285013
unix  3      [ ]         STREAM     CONNECTED     285012
unix  3      [ ]         STREAM     CONNECTED     285011
unix  3      [ ]         STREAM     CONNECTED     285010
unix  3      [ ]         STREAM     CONNECTED     285009
unix  3      [ ]         STREAM     CONNECTED     285008
unix  3      [ ]         STREAM     CONNECTED     285007
unix  2      [ ]         DGRAM                    239266
unix  2      [ ]         DGRAM                    3057
unix  2      [ ]         DGRAM                    1946
unix  2      [ ]         DGRAM                    1480
unix  2      [ ]         DGRAM                    1465
unix  2      [ ]         DGRAM                    1328

Code: Select all

netstat -a -n
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State
tcp        0      0 0.0.0.0:995             0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:110             0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:465             0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:21              0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:25              0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:443             0.0.0.0:*               LISTEN
tcp        0      0 217.160.133.26:22       217.230.12.104:23763    ESTABLISHED
tcp        0      0 217.160.133.26:80       193.159.138.207:33739   FIN_WAIT2
tcp        0      0 217.160.133.26:80       217.238.33.30:3483      ESTABLISHED
tcp        0      0 217.160.133.26:80       193.159.138.207:33743   FIN_WAIT2
tcp        0      0 217.160.133.26:80       212.33.63.179:3508      TIME_WAIT
tcp        0      0 217.160.133.26:80       217.238.33.30:3477      ESTABLISHED
udp        0      0 0.0.0.0:68              0.0.0.0:*
udp        0      0 217.160.133.26:123      0.0.0.0:*
udp        0      0 127.0.0.1:123           0.0.0.0:*
udp        0      0 0.0.0.0:123             0.0.0.0:*
Active UNIX domain sockets (servers and established)
Proto RefCnt Flags       Type       State         I-Node Path
unix  2      [ ACC ]     STREAM     LISTENING     3367   /var/run/.nscd_socket
unix  2      [ ACC ]     STREAM     LISTENING     1098   /var/lib/mysql/mysql.sock
unix  2      [ ACC ]     STREAM     LISTENING     1663   public/cleanup
unix  2      [ ACC ]     STREAM     LISTENING     1776   public/flush
unix  2      [ ACC ]     STREAM     LISTENING     1784   public/showq
unix  2      [ ACC ]     STREAM     LISTENING     1670   private/rewrite
unix  2      [ ACC ]     STREAM     LISTENING     1768   private/bounce
unix  2      [ ACC ]     STREAM     LISTENING     1772   private/defer
unix  2      [ ACC ]     STREAM     LISTENING     1780   private/smtp
unix  2      [ ACC ]     STREAM     LISTENING     1788   private/error
unix  2      [ ACC ]     STREAM     LISTENING     1792   private/local
unix  2      [ ACC ]     STREAM     LISTENING     1796   private/virtual
unix  2      [ ACC ]     STREAM     LISTENING     1800   private/lmtp
unix  2      [ ACC ]     STREAM     LISTENING     1804   private/cyrus
unix  2      [ ACC ]     STREAM     LISTENING     1808   private/uucp
unix  2      [ ACC ]     STREAM     LISTENING     1812   private/ifmail
unix  2      [ ACC ]     STREAM     LISTENING     1816   private/bsmtp
unix  2      [ ACC ]     STREAM     LISTENING     1820   private/vscan
unix  2      [ ACC ]     STREAM     LISTENING     1824   private/procmail
unix  11     [ ]         DGRAM                    938    /dev/log
unix  2      [ ]         DGRAM                    1042377
unix  2      [ ]         DGRAM                    1016173
unix  2      [ ]         DGRAM                    285079
unix  3      [ ]         STREAM     CONNECTED     285050
unix  3      [ ]         STREAM     CONNECTED     285049
unix  3      [ ]         STREAM     CONNECTED     285048
unix  3      [ ]         STREAM     CONNECTED     285047
unix  3      [ ]         STREAM     CONNECTED     285046
unix  3      [ ]         STREAM     CONNECTED     285045
unix  3      [ ]         STREAM     CONNECTED     285044
unix  3      [ ]         STREAM     CONNECTED     285043
unix  3      [ ]         STREAM     CONNECTED     285042
unix  3      [ ]         STREAM     CONNECTED     285041
unix  3      [ ]         STREAM     CONNECTED     285040
unix  3      [ ]         STREAM     CONNECTED     285039
unix  3      [ ]         STREAM     CONNECTED     285038
unix  3      [ ]         STREAM     CONNECTED     285037
unix  3      [ ]         STREAM     CONNECTED     285036
unix  3      [ ]         STREAM     CONNECTED     285035
unix  3      [ ]         STREAM     CONNECTED     285034
unix  3      [ ]         STREAM     CONNECTED     285033
unix  3      [ ]         STREAM     CONNECTED     285030
unix  3      [ ]         STREAM     CONNECTED     285029
unix  3      [ ]         STREAM     CONNECTED     285028
unix  3      [ ]         STREAM     CONNECTED     285027
unix  3      [ ]         STREAM     CONNECTED     285026
unix  3      [ ]         STREAM     CONNECTED     285025
unix  3      [ ]         STREAM     CONNECTED     285024
unix  3      [ ]         STREAM     CONNECTED     285023
unix  3      [ ]         STREAM     CONNECTED     285022
unix  3      [ ]         STREAM     CONNECTED     285021
unix  3      [ ]         STREAM     CONNECTED     285020
unix  3      [ ]         STREAM     CONNECTED     285019
unix  3      [ ]         STREAM     CONNECTED     285018
unix  3      [ ]         STREAM     CONNECTED     285017
unix  3      [ ]         STREAM     CONNECTED     285016
unix  3      [ ]         STREAM     CONNECTED     285015
unix  3      [ ]         STREAM     CONNECTED     285014
unix  3      [ ]         STREAM     CONNECTED     285013
unix  3      [ ]         STREAM     CONNECTED     285012
unix  3      [ ]         STREAM     CONNECTED     285011
unix  3      [ ]         STREAM     CONNECTED     285010
unix  3      [ ]         STREAM     CONNECTED     285009
unix  3      [ ]         STREAM     CONNECTED     285008
unix  3      [ ]         STREAM     CONNECTED     285007
unix  2      [ ]         DGRAM                    239266
unix  2      [ ]         DGRAM                    3057
unix  2      [ ]         DGRAM                    1946
unix  2      [ ]         DGRAM                    1480
unix  2      [ ]         DGRAM                    1465
unix  2      [ ]         DGRAM                    1328
Das ist alles, was ich an Infos zu bieten habe. Wenn irgendwas fehlt einfach melden.

Vielen, Viele Danke
TO
Top
scythe42
Posts: 154
Joined: 2002-10-14 18:30
Location: Internet
 

Re: chkrootkit & bindshell

Post by scythe42 »

läuft bei dir portsentry?

Wenn ja dann deaktiviert denn und mach den scan nochmal.

Port sentry löst bei chkrootkit falsche positives bzgl. bindshell aus...
Top
captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten
 

Re: chkrootkit & bindshell

Post by captaincrunch »

Scheint ein generelles "Problem" bei der 8.1er-Version zu sein. Schau doch mal per

Code: Select all

lsof |grep 465
welcher Dienst das ganze nutzt.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc
Top
theomega
Userprojekt
Userprojekt
Posts: 696
Joined: 2003-01-27 14:36
 

Re: chkrootkit & bindshell

Post by theomega »

Code: Select all

lsof |grep 465
klogd       333    root    1u  unix 0xce308d60                1465 socket
mysqld      377   mysql   85u   REG        3,3     1024    4112465 /var/lib/mysq
l/confixx/admin.MYI
mysqld      379   mysql   85u   REG        3,3     1024    4112465 /var/lib/mysq
l/confixx/admin.MYI
mysqld      380   mysql   85u   REG        3,3     1024    4112465 /var/lib/mysq
l/confixx/admin.MYI
portsentry habe ich nicht bewußt angemacht, wie kann ich das wieder ausschalten?
Top
captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten
 

Re: chkrootkit & bindshell

Post by captaincrunch »

portsentry habe ich nicht bewußt angemacht, wie kann ich das wieder ausschalten?
Ist es denn überhaupt installiert ? Mach doch mal ein rpm -qa | grep [Pp]ortsen. Wenn da nichts auftaucht, kannst du die Theorie erstmal vergessen.

Ich bin mal ein bisschen weiter gekommen, was das angeht : das ganze hängt meines Erachtens nach mit der Postfix-Installation der 8.1er-SuSE zusammen.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc
Top
theomega
Userprojekt
Userprojekt
Posts: 696
Joined: 2003-01-27 14:36
 

Re: chkrootkit & bindshell

Post by theomega »

Also nach der Eingabe der Befele erhalte ich keine Ausgabe. Hier noch mal die ganze Liste der installierten rpm's:

Code: Select all

mktemp-1.5-481
findutils-4.1.7-429
fillup-1.10-31
timezone-2.2.5-161
yast2-pam-2.6.5-54
aaa_version-2002.7.27-97
yast2-trans-en_US-2.6.5-0
openssh-3.4p1-102
libgcc-3.2-44
acl-2.0.19-16
cpio-2.5-53
dialog-0.62-617
cpp-3.2-44
aaa_skel-2002.10.14-0
ed-0.2-610
liby2util-2.6.21-0
perl-Data-ShowTable-3.3-322
finger-1.1-113
hdparm-5.2-32
siga-8.100-9
freetype2-2.0.9-87
tcsh-6.12.00-53
telnet-1.0-305
utempter-0.5.2-141
ash-0.2-640
bash-2.05b-47
readline-4.3-53
imap-lib-2001a-155
pciutils-2.1.10-39
sablot-0.82-121
lukemftp-1.5-329
mailx-8.1.1-602
gdbm-1.8.0-688
grep-2.5.1-83
netcat-1.10-611
permissions-2002.9.10-8
strace-4.4-223
diffutils-2.8.1-48
libstdc++-3.2-44
patch-2.5.4-307
iputils-ss020124-329
m4-1.4o-285
cracklib-2.7-715
perl-IO-Stty-.02-304
attr-2.0.11-15
perl-HTML-Tagset-3.03-299
db-4.0.14-193
curl-7.9.8-50
libxcrypt-1.1-53
textutils-2.1-37
popt-1.6-281
gdbm-devel-1.8.0-688
file-3.37-153
expat-1.95.4-40
initviocons-0.4-43
devs-2002.9.4-9
gcc-c++-3.2-44
grub-0.92-90
autoyast2-installation-2.6.38-1
ksymoops-2.4.5-67
apache-1.3.26-57
webalizer-2.01-306
hwinfo-5.39-2
tar-1.13.25-45
libjpeg-6.2.0-480
libmng-1.0.4-47
lilo-22.3.2-51
lsof-4.64-39
net-tools-1.60-282
procmail-3.15.1-323
ncurses-devel-5.2-401
util-linux-2.11u-44
vsftpd-1.1.0-30
yast2-network-2.6.30-3
zlib-1.1.4-50
less-376-30
netcfg-2002.9.4-6
yast2-theme-SuSELinux-2.6.7-0
mysql-shared-3.23.52-44
gzip-1.3-325
iproute2-2.4.7-360
yast2-packagemanager-2.6.44-2
postgresql-libs-7.2.2-32
cyrus-sasl-1.5.27-277
perl-Digest-HMAC-1.01-236
bindutil-8.2.4-260
gd-1.8.4-400
bootsplash-1.0-65
modutils-2.4.19-37
heimdal-lib-0.4e-207
aaa_base-2002.9.12-1
yast2-inetd-2.6.8-13
yast2-tune-2.6.13-57
w3m-0.3.1-78
suse-build-key-1.0-184
openldap2-client-2.1.4-68
sed-3.02.80-52
bc-1.06-473
liblcms-1.09-41
libxml2-2.4.23-115
gcc-3.2-44
yast2-mouse-2.6.18-19
pam-modules-2002.8.27-24
syslogd-1.4.1-254
wget-1.8.2-61
bzip2-1.0.2-50
perl-Msql-Mysql-modules-1.2219-153
yast2-2.6.39-1
recode-3.6-239
bootsplash-theme-SuSE-1.0-65
pam-devel-0.76-46
dhcpcd-1.3.22pl1-128
parted-1.6.3-36
sh-utils-2.0-325
pcre-3.9-130
yast2-packager-2.6.72-0
yast2-country-2.6.33-1
fileutils-4.1.11-28
at-3.1.8-604
yast2-sysconfig-2.6.14-13
tcpdump-3.7.1-112
libcap-1.92-225
yast2-ncurses-2.6.21-0
xshared-4.2.0-187
yast2-transfer-2.6.1-138
compat-2002.8.15-28
yast2-update-2.6.22-45
libpcap-0.7.1-55
glib-1.2.10-324
yast2-xml-2.6.8-68
qpopper-4.0.4-75
stunnel-3.14-405
libiodbc-3.0.6-78
yast2-runlevel-2.6.15-18
yast2-security-2.6.10-28
yast2-support-2.6.6-33
make-3.79.1-406
filesystem-2002.9.2-50
t1lib-1.3.1-115
libmcal-0.6-403
perl-DBI-1.28-30
yast2-users-2.6.30-1
yast2-backup-2.6.7-25
perl-SNMP-4.2.0-328
yast2-ldap-client-2.6.5-66
yast2-mail-2.6.17-13
libtool-1.4.2-345
perl-Compress-Zlib-1.16-147
perl-Digest-SHA1-2.01-152
gmp-4.0-148
yast2-restore-2.6.10-25
glibc-2.2.5-161
ps-2002.9.10-13
sysconfig-0.23.22-17
binutils-2.12.90.0.15-49
glibc-devel-2.2.5-161
xntp-4.1.1-120
libstdc++-devel-3.2-44
rsync-2.5.5-99
ncurses-5.2-401
perl-5.8.0-57
openssl-0.9.6g-30
pam-0.76-46
shadow-4.0.2-228
cron-3.0.1-648
e2fsprogs-1.28-29
python-mysql-0.9.1-313
gawk-3.1.1-121
gpg-1.0.7-93
gpm-1.20.1-46
groff-1.17.2-399
iptables-1.2.7a-39
tcl-8.4-64
logrotate-3.5.9-195
man-2.3.19deb4.0-413
postfix-1.1.11-110
rpm-3.0.6-417
sysvinit-2.82-197
terminfo-5.2-401
vim-6.1-191
yast2-core-2.6.53-8
yast2-installation-2.6.87-0
yast2-online-update-2.6.14-0
yast2-storage-2.6.45-1
mm-1.2.1-37
ncpfs-2.2.0.19-41
python-2.2.1-65
xinetd-2.3.6-35
mysql-client-3.23.52-44
apache-contrib-1.0.9-461
apache-doc-1.3.26-57
k_deflt-2.4.19-174
quota-3.03-252
mod_frontpage-1.0.9-461
mod_ssl-2.8.10-57
unixODBC-2.2.2-92
gtk-1.2.10-460
openssl-devel-0.9.6g-30
ucdsnmp-4.2.5-63
db-devel-4.0.14-193
libmcrypt-2.5.2-31
unzip-5.50-2.1mdk
perl-MailTools-1.47-29
autoconf-2.53-148
automake-1.6.3-36
findutils-locate-4.1.7-429
mod_php4-core-4.2.2-117
perl-IO-Tty-1.02-70
mod_php4-4.2.2-117
perl-IO-stringy-2.108-140
perl-URI-1.20-38
perl-Expect-1.15-67
perl-HTML-Parser-3.26-38
perl-MIME-tools-5.411a-145
perl-Net-DNS-0.24-26
perl-libwww-perl-5.65-40
libpng-1.2.4-58
mysql-3.23.52-44
mysql-devel-3.23.52-44
yast2-bootloader-2.6.68-1
mc-4.5.55-416
Top
scythe42
Posts: 154
Joined: 2002-10-14 18:30
Location: Internet
 

Re: chkrootkit & bindshell

Post by scythe42 »

OK, Portsentry ist es nicht.

Dann stopp mal deinen MTA und mach den Check nochmal.

Wenn die Meldung dann weg ist, kannst du du den MTA wieder starten, udn wir haben den Auslöser für die Meldung gefunden.

Ursache in diesem Falle: Dein MTA macht zur besseren Kompatibilität mit diversen Outlook Version bzgl. Secure SMTP ein SMTP Listen auf Port 465 und startet erst dann die SSL Kommunikationen auf dem gleichen Port. Auf Port 465 sollte jedoch kein Listen laufen, sondern direkt mit SSL gesprochen werden (so wie das bei https auf 443 der Fall ist). War nen Bug in älteren Outlook bzw. Outlook Express Varianten, dass die ne SSL Session auf 465 angefordert haben statt auf 25, und dann im Anschluss auf 465 verschlüsselt zu kommunuzieren. Dein MTA ist halt etwas kompatibler konfigutiert. Brauchst du aber nicht ändern....

Warum überhaupt die infected Meldung: Chkrootkit prüft halt nur bestimmte Ports durch, und wenn da nen Dienst läuft dann schreit es halt laut. Soll man dann halt gucken, was auf den Ports läuft....
Top
theomega
Userprojekt
Userprojekt
Posts: 696
Joined: 2003-01-27 14:36
 

Re: chkrootkit & bindshell

Post by theomega »

Oki, danke nach einen
/etc/init.d/postfix stop
tratt der Fehler nichtmehr auf. Dürfte sich damit doch geklärt haben, oder?
Top
captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten
 

Re: chkrootkit & bindshell

Post by captaincrunch »

Exakt. Gut zu wissen, dass es doch der Postfix war. Da kann ich das direkt mit ins HowTo aufnehmen ...
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc
Top
theomega
Userprojekt
Userprojekt
Posts: 696
Joined: 2003-01-27 14:36
 

Re: chkrootkit & bindshell

Post by theomega »

oki, dann kann ich mich ja wieder beruhigen, hatte schon einen Schreck bekommen.
Top
rootmaster
Posts: 483
Joined: 2002-04-28 13:30
Location: Hannover
 

Re: chkrootkit & bindshell

Post by rootmaster »

thankx@scythe42

siehe auch
http://www.chkrootkit.org/ FAQ 7:

Code: Select all

7.     If you're running PortSentry/klaxon or another program
       that binds itself to unused ports probably chkrootkit
       will give you a false positive on the bindshell test
       (ports 114/tcp, 465/tcp, 511/tcp, 1008/tcp, 1524/tcp, 1999/tcp,
       3879/tcp, 4369/tcp, 5665/tcp, 10008/tcp, 12321/tcp, 23132/tcp,
       27374/tcp, 29364/tcp, 31336/tcp, 31337/tcp, 45454/tcp,
       47017/tcp, 47889/tcp, 60001/tcp).
"back to the roots"
Last edited by rootmaster on 2003-01-29 04:42, edited 1 time in total.
Cahn's Axiom:

When all else fails, read the instructions
Top
oxygen
Posts: 2138
Joined: 2002-12-15 00:10
Location: Bergheim
 

Re: chkrootkit & bindshell

Post by oxygen »

Bei mir gleiches Ergebnis:

Checking `bindshell'... INFECTED (PORTS: 31337)

31337 ist aber nur eine psyBNC.
Top
footh
Posts: 84
Joined: 2002-12-02 02:33
 

Re: chkrootkit & bindshell

Post by footh »

...also ich habe auch die selbe Meldung mit port 465 INFECTED.
Ich habe portsentry und postfix gestoppt. Wieder durchlaufen lassen und die Meldung port 465 INFECTED kam nicht mehr, aber diese meldung hier bekomme ich immer noch, aber ohne Portangabe:
OooPS!
Warning: Possible LKM Trojan installed
Langsam glaube ich, daß man diesen Prog chkrookit gar nicht trauen kann, oder ist nun wirklich ein Trojaner drauf, wie kann ich jetzt vorgehen??

Systen 8.1
PHP4.26


..vielen Dank im Voraus
Top
captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten
 

Re: chkrootkit & bindshell

Post by captaincrunch »

Langsam glaube ich, daß man diesen Prog chkrookit gar nicht trauen kann, oder ist nun wirklich ein Trojaner drauf, wie kann ich jetzt vorgehen??
Du kannst grundsätzlich erstmal keinem Programm "vertrauen". chkrootkit prüft auf gewisse Kriterien, die auf eine Backdoor, einen Trojaner, usw. Eine "Intelligenz", dir zu sagen, ob die Meldung ein "false postive" ist, ist nicht eingebaut, das musst du schon selbst herausfinden.
Das kannst du sehr schön am 465er-Port sehen : ist er da, bekommst du die Meldung (obwohl es normal und mehr oder weniger gewollt ist, dass der Port offen ist), ob das wirklich etwas böses sein muss, wird dir (noch) kein Programm sagen können (und selbst wenn's so wäre, solltest du's nicht glauben) ...

Im übrigen wäre es in dem Fall sehr hilfreich, wenn du uns sagen würdest, bei welcher Datei diese Meldung kommt ...
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc
Top
footh
Posts: 84
Joined: 2002-12-02 02:33
 

Re: chkrootkit & bindshell

Post by footh »

Im übrigen wäre es in dem Fall sehr hilfreich, wenn du uns sagen würdest, bei welcher Datei diese Meldung kommt ...
./chkrootkit -q

/usr/lib/perl5/5.8.0/i586-linux-thread-multi/.packlist /usr/lib/perl5/site_perl/5.8.0/i586-linux-thread-multi/auto/DBI/.packlist /usr/lib/perl5/site_perl/5.8.0/i586-linux-thread-multi/auto/Data/ShowTable/.packlist /usr/lib/perl5/site_perl/5.8.0/i586-linux-thread-multi/auto/Msql-Mysql-modules/.packlist /usr/lib/perl5/site_perl/5.8.0/i586-linux-thread-multi/auto/SNMP/.packlist /usr/lib/perl5/site_perl/5.8.0/i586-linux-thread-multi/auto/Compress/Zlib/.packlist /usr/lib/perl5/site_perl/5.8.0/i586-linux-thread-multi/auto/Digest/SHA1/.packlist /usr/lib/perl5/site_perl/5.8.0/i586-linux-thread-multi/auto/Digest/HMAC/.packlist /usr/lib/perl5/site_perl/5.8.0/i586-linux-thread-multi/auto/HTML/Tagset/.packlist /usr/lib/perl5/site_perl/5.8.0/i586-linux-thread-multi/auto/HTML/Parser/.packlist /usr/lib/perl5/site_perl/5.8.0/i586-linux-thread-multi/auto/IO-stringy/.packlist /usr/lib/perl5/site_perl/5.8.0/i586-linux-thread-multi/auto/Mail/.packlist /usr/lib/perl5/site_perl/5.8.0/i586-linux-thread-multi/auto/Mail/Sender/.packlist /usr/lib/perl5/site_perl/5.8.0/i586-linux-thread-multi/auto/Mail/POP3Client/.packlist /usr/lib/perl5/site_perl/5.8.0/i586-linux-thread-multi/auto/URI/.packlist /usr/lib/perl5/site_perl/5.8.0/i586-linux-thread-multi/auto/MIME-tools/.packlist /usr/lib/perl5/site_perl/5.8.0/i586-linux-thread-multi/auto/Net/DNS/.packlist /usr/lib/perl5/site_perl/5.8.0/i586-linux-thread-multi/auto/Net/SSLeay/.packlist /usr/lib/perl5/site_perl/5.8.0/i586-linux-thread-multi/auto/libwww-perl/.packlist /usr/lib/perl5/site_perl/5.8.0/i586-linux-thread-multi/auto/Quota/.packlist /usr/lib/perl5/site_perl/5.8.0/i586-linux-thread-multi/auto/Logfile/Rotate/.packlist /usr/lib/perl5/site_perl/5.8.0/i586-linux-thread-multi/auto/Proc/ProcessTable/.packlist /usr/lib/perl5/site_perl/5.8.0/i586-linux-thread-multi/auto/Term/ReadKey/.packlist

INFECTED (PORTS: 465)
ps: error: Thread display not implemented.
usage: ps -[Unix98 options]
ps [BSD-style options]
ps --[GNU-style long options]
ps --help for a command summary
OooPS!
Warning: Possible LKM Trojan installed

eth0 is not promisc
und jetzt nochmal mal:
./chkrootkit
ROOTDIR is `/'
Checking `amd'... not found
Checking `basename'... not infected
Checking `biff'... not found
Checking `chfn'... not infected
Checking `chsh'... not infected
Checking `cron'... not infected
Checking `date'... not infected
Checking `du'... not infected
Checking `dirname'... not infected
Checking `echo'... not infected
Checking `egrep'... not infected
Checking `env'... not infected
Checking `find'... not infected
Checking `fingerd'... not found
Checking `gpm'... not infected
Checking `grep'... not infected
Checking `hdparm'... not infected
Checking `su'... not infected
Checking `ifconfig'... not infected
Checking `inetd'... not tested
Checking `inetdconf'... not infected
Checking `identd'... not found
Checking `killall'... not infected
Checking `ldsopreload'... not infected
Checking `login'... not infected
Checking `ls'... not infected
Checking `lsof'... not infected
Checking `mail'... not infected
Checking `mingetty'... not infected
Checking `netstat'... not infected
Checking `named'... not found
Checking `passwd'... not infected
Checking `pidof'... not infected
Checking `pop2'... not found
Checking `pop3'... not found
Checking `ps'... not infected
Checking `pstree'... not infected
Checking `rpcinfo'... not infected
Checking `rlogind'... not found
Checking `rshd'... not found
Checking `slogin'... not infected
Checking `sendmail'... not infected
Checking `sshd'... not infected
Checking `syslogd'... not infected
Checking `tar'... not infected
Checking `tcpd'... not found
Checking `tcpdump'... not infected
Checking `top'... not infected
Checking `telnetd'... not found
Checking `timed'... not found
Checking `traceroute'... not infected
Checking `w'... not infected
Checking `write'... not infected
Checking `aliens'... no suspect files
Searching for sniffer's logs, it may take a while... nothing found
Searching for HiDrootkit's default dir... nothing found
Searching for t0rn's default files and dirs... nothing found
Searching for t0rn's v8 defaults... nothing found
Searching for Lion Worm default files and dirs... nothing found
Searching for RSHA's default files and dir... nothing found
Searching for RH-Sharpe's default files... nothing found
Searching for Ambient's rootkit (ark) default files and dirs... nothing found
Searching for suspicious files and dirs, it may take a while...
/usr/lib/perl5/5.8.0/i586-linux-thread-multi/.packlist /usr/lib/perl5/site_perl/5.8.0/i586-linux-thread-multi/auto/DBI/.packlist /usr/lib/perl5/site_perl/5.8.0/i586-linux-thread-multi/auto/Data/ShowTable/.packlist /usr/lib/perl5/site_perl/5.8.0/i586-linux-thread-multi/auto/Msql-Mysql-modules/.packlist /usr/lib/perl5/site_perl/5.8.0/i586-linux-thread-multi/auto/SNMP/.packlist /usr/lib/perl5/site_perl/5.8.0/i586-linux-thread-multi/auto/Compress/Zlib/.packlist /usr/lib/perl5/site_perl/5.8.0/i586-linux-thread-multi/auto/Digest/SHA1/.packlist /usr/lib/perl5/site_perl/5.8.0/i586-linux-thread-multi/auto/Digest/HMAC/.packlist /usr/lib/perl5/site_perl/5.8.0/i586-linux-thread-multi/auto/HTML/Tagset/.packlist /usr/lib/perl5/site_perl/5.8.0/i586-linux-thread-multi/auto/HTML/Parser/.packlist /usr/lib/perl5/site_perl/5.8.0/i586-linux-thread-multi/auto/IO-stringy/.packlist /usr/lib/perl5/site_perl/5.8.0/i586-linux-thread-multi/auto/Mail/.packlist /usr/lib/perl5/site_perl/5.8.0/i586-linux-thread-multi/auto/Mail/Sender/.packlist /usr/lib/perl5/site_perl/5.8.0/i586-linux-thread-multi/auto/Mail/POP3Client/.packlist /usr/lib/perl5/site_perl/5.8.0/i586-linux-thread-multi/auto/URI/.packlist /usr/lib/perl5/site_perl/5.8.0/i586-linux-thread-multi/auto/MIME-tools/.packlist /usr/lib/perl5/site_perl/5.8.0/i586-linux-thread-multi/auto/Net/DNS/.packlist /usr/lib/perl5/site_perl/5.8.0/i586-linux-thread-multi/auto/Net/SSLeay/.packlist /usr/lib/perl5/site_perl/5.8.0/i586-linux-thread-multi/auto/libwww-perl/.packlist /usr/lib/perl5/site_perl/5.8.0/i586-linux-thread-multi/auto/Quota/.packlist /usr/lib/perl5/site_perl/5.8.0/i586-linux-thread-multi/auto/Logfile/Rotate/.packlist /usr/lib/perl5/site_perl/5.8.0/i586-linux-thread-multi/auto/Proc/ProcessTable/.packlist /usr/lib/perl5/site_perl/5.8.0/i586-linux-thread-multi/auto/Term/ReadKey/.packlist

Searching for LPD Worm files and dirs... nothing found
Searching for Ramen Worm files and dirs... nothing found
Searching for Maniac files and dirs... nothing found
Searching for RK17 files and dirs... nothing found
Searching for Ducoci rootkit... nothing found
Searching for Adore Worm... nothing found
Searching for ShitC Worm... nothing found
Searching for Omega Worm... nothing found
Searching for Sadmind/IIS Worm... nothing found
Searching for MonKit... nothing found
Searching for Showtee... nothing found
Searching for OpticKit... nothing found
Searching for T.R.K... nothing found
Searching for Mithra... nothing found
Searching for OBSD rk v1... nothing found
Searching for LOC rootkit ... nothing found
Searching for Romanian rootkit ... nothing found
Searching for anomalies in shell history files... nothing found
Checking `asp'... not infected
Checking `bindshell'... INFECTED (PORTS: 465)
Checking `lkm'... ps: error: Thread display not implemented.
usage: ps -[Unix98 options]
ps [BSD-style options]
ps --[GNU-style long options]
ps --help for a command summary
OooPS!
Warning: Possible LKM Trojan installed
Checking `rexedcs'... not found
Checking `sniffer'...
eth0 is not promisc
Checking `wted'... nothing deleted
Checking `scalper'... not infected
Checking `slapper'... not infected
Checking `z2'...
nothing deleted
Zumal muß ich jetzt dazu sagen, daß ich Postfix und Portsentry wieder aktiv habe, da kam dann auch die Meldung mit den Infected Port465 wieder. Was mich nun stutzig macht ist, daß diese Meldung trotzdem kommt, auch wenn ich Postfix und Portsentry abschalte:
OooPS!
Warning: Possible LKM Trojan installed
Ich hoffe du kannst mit dieser Ausgabe etwas anfangen und vielen Dank für deine Anteilnahme :D

PS: Das System ist auch neu Installiert worden, also kaum ne Woche alt.

MFG
Top
scythe42
Posts: 154
Joined: 2002-10-14 18:30
Location: Internet
 

Re: chkrootkit & bindshell

Post by scythe42 »

Checking `lkm'... ps: error: Thread display not implemented.
usage: ps -[Unix98 options]
ps [BSD-style options]
ps --[GNU-style long options]
ps --help for a command summary
OooPS!
Warning: Possible LKM Trojan installed
Aha, der kann mit deiner ps Version nicht umgehen und erhält einen Errorlevel > 0 zurück, und deswegen spuckt der die Meldung aus....
Top
footh
Posts: 84
Joined: 2002-12-02 02:33
 

Re: chkrootkit & bindshell

Post by footh »

Aha, der kann mit deiner ps Version nicht umgehen und erhält einen Errorlevel > 0 zurück, und deswegen spuckt der die Meldung aus....
Vielen Dank! Aber wie gehe ich dem nun entgegen? Ignorieren?
Etwas nachinstallieren?

MFG
footh
Top
captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten
 

Re: chkrootkit & bindshell

Post by captaincrunch »

Kannst du in dem Fall getrost ignorieren.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc
Top
footh
Posts: 84
Joined: 2002-12-02 02:33
 

Re: chkrootkit & bindshell

Post by footh »

..vielen Dank für die Hilfe :lol:
Top
quasan
Posts: 13
Joined: 2003-05-07 18:07
 

Re: chkrootkit & bindshell

Post by quasan »

puh danke leute :)
hatte auch schon angst, da ich gerad schon eine dosattacke hatte dachte ich das wär jetzt die krönung :o

aber gott sei dank net
Top

Return to “Security”