Vraag & Antwoord
chkrootkit output,,, serieus of niet
16 antwoorden
- vandaag even chkrootkit geinstalled en gedraait..
wat schetst mijn verbazing.. iets gevonden???
[code:1:cbb45f0f07]Checking `bindshell'… not infected
Checking `lkm'… You have 11 process hidden for readdir command
You have 11 process hidden for ps command
chkproc: Warning: Possible LKM Trojan installed
Checking `rexedcs'… not found
Checking `sniffer'… /proc/5732/fd: No such file or directory
/proc/5734/fd: No such file or directory
/proc/5736/fd: No such file or directory
/proc/5751/fd: No such file or directory
/proc/5764/fd: No such file or directory
eth0: PF_PACKET(/usr/sbin/snort-plain)
Checking `w55808'… not infected
Checking `wted'… chkwtmp: nothing deleted
Checking `scalper'… not infected
Checking `slapper'… not infected
Checking `z2'… chklastlog: nothing deleted
Checking `chkutmp'… The tty of the following user process(es) were not found
in /var/run/utmp !
! RUID PID TTY CMD
! root 3802 tty1 /sbin/mingetty tty1
! root 3803 tty2 /sbin/mingetty tty2
! root 3806 tty3 /sbin/mingetty tty3
! root 3809 tty4 /sbin/mingetty tty4
! root 3812 tty5 /sbin/mingetty tty5
chkutmp: nothing deleted
[/code:1:cbb45f0f07]
is dit iets serieus, of komt het omdat ik bv snort heb geinstalled???
Op mijn centOS bak blijkt alles 'schoon'
dank - kleine aanvulling:
poorten staan niet onnodig open
heb geen bijzondere netwerk activiteiten
alles is up-to-date
evert - Installeer de rpm (ga er even van uit dat je een rpm distributie gebruikt) met het ps commando eens opnieuw. Als hij dan niet meer de melding geeft heb je best kans dat chkrootkit iets gevonden heeft, anders is het een false positive.
- wat bedoel je met:
het ps commando? - De RPM die het /bin/ps bestand bevat. Ik weet niet precies welke RPM, ik gebruik Gentoo (geen RPMS meer
). Ik dacht dat je dat kon uitvinden met rpm -qf /bin/ps - maar dat is uit herinnering. - hier vat ik dus niets van,, sorry Tekkie
ik heb gewoon chkrootkit geinstalled middels apt-get
evert - Dit zou welleens op een keylogger kunnen wijzen !
Pin me er niet op vast, maar het lijkt er op alsof er met de inlogschermen is geknoeid ?
Sommige keyloggers veroorzaken dergelijke meldingen doordat ze de inlogprocedure faken…
Het zal wel meevallen, maar toch even goed kijken dus !
P&B - keylogger…. ???????
met de inlogschermen geknoeid?????
hoe kan je dat zien??
dank - [quote:4516f1aa2c="windowsXP-PRO"]keylogger…. ???????
met de inlogschermen geknoeid?????
hoe kan je dat zien??
dank[/quote:4516f1aa2c]
Tja, ik ben er niet zeker van, maar er wordt o.a. dit over gezegd :
http://www.linuxquestions.org/questions/history/314168
http://moongroup.com/pipermail/mailhelp/2005-April/002026.html
http://forums.fedoraforum.org/archive/index.php/t-42662.html
Ik ben er niet zeker zijn dat er iets mis is, maar de melding vond ik nogal verdacht en ik heb enkele weken terug no gelezen over een keylogger welke de loginpromt faked en daar moest ik dus aan denken.
Je zou je logfiles eens moeten checken en kijken of er misschien ook vreemde logins zijn geweest van vreemde locaties of op vreemde tijden !
Draai je trouwens Fedora Core of zoiets ?
Ik heb meerdere fedoracore vragen m.b.t. tot dit symtoom gezien, misschien is het dan een foutje in fedora i.p.v. een hack ?
P&B - Het ziet er onschuldig uit.
chkrootkit heeft geen rootkits gevonden, maar merkt wel dat bepaalde processen verborgen blijven.
Ga na of dit normale processen zijn, of dat ze gecompromiteerd zijn.
Max - om eerlijk te zijn…
Maximiliaan meldt idd wat ik eigenlijk al vermoedt
Max,
Dank, ik zal de zaak even onderzoeken - Heb je de laatste chkrootkit? Je kunt ook een alternatief (rootkithunter geloof ik) proberen. Wel serieus nemen! Snort zal alleen bij het stukje sniffer een alarm geven; anders niet.
- ok
rootkithunter –>
[code:1:1f08ae0d71][root@ noarch]# rpm -i rkhunter-1.2.4-1.noarch.rpm[/code:1:1f08ae0d71]
[code:1:1f08ae0d71][root@ noarch]# rkhunter -c[/code:1:1f08ae0d71]
de output:
http://www.fedora-nieuws.nl/rootkit.html
volgens mij is alleen SSH een risico factor, en ben is dus, gebasseerd op de output,
schoon - ik heb tevens besloten mijzelf te upgraden naar:
[quote:de8b3bb5a4]openssl-0.9.7f-6.fc3.i386.rpm
openssl-devel-0.9.7f-6.fc3.i386.rpm
openssl-perl-0.9.7f-6.fc3.i386.rpm
[code:1:de8b3bb5a4][/code:1:de8b3bb5a4][/quote:de8b3bb5a4]
in plaats van 0.9.7a-40
Evert - Had je met chkrootkit wel de laatste versie? 0.44 geloof ik… bij 0.43 gaf ie bij mij ook onterechte alarms.
- ik heb versie 0.45-2.1
Evert
Beantwoord deze vraag
Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.