Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord

Vraag & Antwoord

OS Linux

chkrootkit output,,, serieus of niet

MrLeeJohn
16 antwoorden
  • vandaag even chkrootkit geinstalled en gedraait..

    wat schetst mijn verbazing.. iets gevonden???

    [code:1:cbb45f0f07]Checking `bindshell'… not infected
    Checking `lkm'… You have 11 process hidden for readdir command
    You have 11 process hidden for ps command
    chkproc: Warning: Possible LKM Trojan installed
    Checking `rexedcs'… not found
    Checking `sniffer'… /proc/5732/fd: No such file or directory
    /proc/5734/fd: No such file or directory
    /proc/5736/fd: No such file or directory
    /proc/5751/fd: No such file or directory
    /proc/5764/fd: No such file or directory
    eth0: PF_PACKET(/usr/sbin/snort-plain)
    Checking `w55808'… not infected
    Checking `wted'… chkwtmp: nothing deleted
    Checking `scalper'… not infected
    Checking `slapper'… not infected
    Checking `z2'… chklastlog: nothing deleted
    Checking `chkutmp'… The tty of the following user process(es) were not found
    in /var
    un/utmp !
    ! RUID PID TTY CMD
    ! root 3802 tty1 /sbin/mingetty tty1
    ! root 3803 tty2 /sbin/mingetty tty2
    ! root 3806 tty3 /sbin/mingetty tty3
    ! root 3809 tty4 /sbin/mingetty tty4
    ! root 3812 tty5 /sbin/mingetty tty5
    chkutmp: nothing deleted
    [/code:1:cbb45f0f07]

    is dit iets serieus, of komt het omdat ik bv snort heb geinstalled???

    Op mijn centOS bak blijkt alles 'schoon'

    dank
  • kleine aanvulling:

    poorten staan niet onnodig open

    heb geen bijzondere netwerk activiteiten

    alles is up-to-date

    evert
  • Installeer de rpm (ga er even van uit dat je een rpm distributie gebruikt) met het ps commando eens opnieuw. Als hij dan niet meer de melding geeft heb je best kans dat chkrootkit iets gevonden heeft, anders is het een false positive.
  • wat bedoel je met:
    het ps commando?
  • De RPM die het /bin/ps bestand bevat. Ik weet niet precies welke RPM, ik gebruik Gentoo (geen RPMS meer :D ). Ik dacht dat je dat kon uitvinden met rpm -qf /bin/ps - maar dat is uit herinnering.
  • hier vat ik dus niets van,, sorry Tekkie

    ik heb gewoon chkrootkit geinstalled middels apt-get

    evert
  • Dit zou welleens op een keylogger kunnen wijzen !
    Pin me er niet op vast, maar het lijkt er op alsof er met de inlogschermen is geknoeid ?
    Sommige keyloggers veroorzaken dergelijke meldingen doordat ze de inlogprocedure faken…

    Het zal wel meevallen, maar toch even goed kijken dus !

    P&B
  • keylogger…. ???????

    met de inlogschermen geknoeid?????

    hoe kan je dat zien??

    dank
  • [quote:4516f1aa2c="windowsXP-PRO"]keylogger…. ???????

    met de inlogschermen geknoeid?????

    hoe kan je dat zien??

    dank[/quote:4516f1aa2c]
    Tja, ik ben er niet zeker van, maar er wordt o.a. dit over gezegd :

    http://www.linuxquestions.org/questions/history/314168
    http://moongroup.com/pipermail/mailhelp/2005-April/002026.html
    http://forums.fedoraforum.org/archive/index.php/t-42662.html

    Ik ben er niet zeker zijn dat er iets mis is, maar de melding vond ik nogal verdacht en ik heb enkele weken terug no gelezen over een keylogger welke de loginpromt faked en daar moest ik dus aan denken.
    Je zou je logfiles eens moeten checken en kijken of er misschien ook vreemde logins zijn geweest van vreemde locaties of op vreemde tijden !
    Draai je trouwens Fedora Core of zoiets ?
    Ik heb meerdere fedoracore vragen m.b.t. tot dit symtoom gezien, misschien is het dan een foutje in fedora i.p.v. een hack ?

    P&B
  • Het ziet er onschuldig uit.
    chkrootkit heeft geen rootkits gevonden, maar merkt wel dat bepaalde processen verborgen blijven.
    Ga na of dit normale processen zijn, of dat ze gecompromiteerd zijn.

    Max
  • om eerlijk te zijn…

    Maximiliaan meldt idd wat ik eigenlijk al vermoedt

    Max,
    Dank, ik zal de zaak even onderzoeken
  • Heb je de laatste chkrootkit? Je kunt ook een alternatief (rootkithunter geloof ik) proberen. Wel serieus nemen! Snort zal alleen bij het stukje sniffer een alarm geven; anders niet.
  • ok

    rootkithunter –>
    [code:1:1f08ae0d71][root@ noarch]# rpm -i rkhunter-1.2.4-1.noarch.rpm[/code:1:1f08ae0d71]
    [code:1:1f08ae0d71][root@ noarch]# rkhunter -c[/code:1:1f08ae0d71]

    de output:
    http://www.fedora-nieuws.nl
    ootkit.html

    volgens mij is alleen SSH een risico factor, en ben is dus, gebasseerd op de output,
    schoon :D :D
  • ik heb tevens besloten mijzelf te upgraden naar:
    [quote:de8b3bb5a4]openssl-0.9.7f-6.fc3.i386.rpm
    openssl-devel-0.9.7f-6.fc3.i386.rpm
    openssl-perl-0.9.7f-6.fc3.i386.rpm
    [code:1:de8b3bb5a4][/code:1:de8b3bb5a4][/quote:de8b3bb5a4]

    in plaats van 0.9.7a-40

    Evert
  • Had je met chkrootkit wel de laatste versie? 0.44 geloof ik… bij 0.43 gaf ie bij mij ook onterechte alarms.
  • ik heb versie 0.45-2.1

    Evert

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.