Vraag & Antwoord

OS Linux

chkrootkit output,,, serieus of niet

16 antwoorden
  • vandaag even chkrootkit geinstalled en gedraait.. wat schetst mijn verbazing.. iets gevonden??? [code:1:cbb45f0f07]Checking `bindshell'... not infected Checking `lkm'... You have 11 process hidden for readdir command You have 11 process hidden for ps command chkproc: Warning: Possible LKM Trojan installed Checking `rexedcs'... not found Checking `sniffer'... /proc/5732/fd: No such file or directory /proc/5734/fd: No such file or directory /proc/5736/fd: No such file or directory /proc/5751/fd: No such file or directory /proc/5764/fd: No such file or directory eth0: PF_PACKET(/usr/sbin/snort-plain) Checking `w55808'... not infected Checking `wted'... chkwtmp: nothing deleted Checking `scalper'... not infected Checking `slapper'... not infected Checking `z2'... chklastlog: nothing deleted Checking `chkutmp'... The tty of the following user process(es) were not found in /var/run/utmp ! ! RUID PID TTY CMD ! root 3802 tty1 /sbin/mingetty tty1 ! root 3803 tty2 /sbin/mingetty tty2 ! root 3806 tty3 /sbin/mingetty tty3 ! root 3809 tty4 /sbin/mingetty tty4 ! root 3812 tty5 /sbin/mingetty tty5 chkutmp: nothing deleted [/code:1:cbb45f0f07] is dit iets serieus, of komt het omdat ik bv snort heb geinstalled??? Op mijn centOS bak blijkt alles 'schoon' dank
  • kleine aanvulling: poorten staan niet onnodig open heb geen bijzondere netwerk activiteiten alles is up-to-date evert
  • Installeer de rpm (ga er even van uit dat je een rpm distributie gebruikt) met het ps commando eens opnieuw. Als hij dan niet meer de melding geeft heb je best kans dat chkrootkit iets gevonden heeft, anders is het een false positive.
  • wat bedoel je met: het ps commando?
  • De RPM die het /bin/ps bestand bevat. Ik weet niet precies welke RPM, ik gebruik Gentoo (geen RPMS meer :D ). Ik dacht dat je dat kon uitvinden met rpm -qf /bin/ps - maar dat is uit herinnering.
  • hier vat ik dus niets van,, sorry Tekkie ik heb gewoon chkrootkit geinstalled middels apt-get evert
  • Dit zou welleens op een keylogger kunnen wijzen ! Pin me er niet op vast, maar het lijkt er op alsof er met de inlogschermen is geknoeid ? Sommige keyloggers veroorzaken dergelijke meldingen doordat ze de inlogprocedure faken... Het zal wel meevallen, maar toch even goed kijken dus ! P&B
  • keylogger.... ??????? met de inlogschermen geknoeid????? hoe kan je dat zien?? dank
  • [quote:4516f1aa2c="windowsXP-PRO"]keylogger.... ??????? met de inlogschermen geknoeid????? hoe kan je dat zien?? dank[/quote:4516f1aa2c] Tja, ik ben er niet zeker van, maar er wordt o.a. dit over gezegd : [url]http://www.linuxquestions.org/questions/history/314168[/url] [url]http://moongroup.com/pipermail/mailhelp/2005-April/002026.html[/url] [url]http://forums.fedoraforum.org/archive/index.php/t-42662.html[/url] Ik ben er niet zeker zijn dat er iets mis is, maar de melding vond ik nogal verdacht en ik heb enkele weken terug no gelezen over een keylogger welke de loginpromt faked en daar moest ik dus aan denken. Je zou je logfiles eens moeten checken en kijken of er misschien ook vreemde logins zijn geweest van vreemde locaties of op vreemde tijden ! Draai je trouwens Fedora Core of zoiets ? Ik heb meerdere fedoracore vragen m.b.t. tot dit symtoom gezien, misschien is het dan een foutje in fedora i.p.v. een hack ? P&B
  • Het ziet er onschuldig uit. chkrootkit heeft geen rootkits gevonden, maar merkt wel dat bepaalde processen verborgen blijven. Ga na of dit normale processen zijn, of dat ze gecompromiteerd zijn. Max
  • om eerlijk te zijn... Maximiliaan meldt idd wat ik eigenlijk al vermoedt Max, Dank, ik zal de zaak even onderzoeken
  • Heb je de laatste chkrootkit? Je kunt ook een alternatief (rootkithunter geloof ik) proberen. Wel serieus nemen! Snort zal alleen bij het stukje sniffer een alarm geven; anders niet.
  • ok rootkithunter --> [code:1:1f08ae0d71][root@ noarch]# rpm -i rkhunter-1.2.4-1.noarch.rpm[/code:1:1f08ae0d71] [code:1:1f08ae0d71][root@ noarch]# rkhunter -c[/code:1:1f08ae0d71] de output: http://www.fedora-nieuws.nl/rootkit.html volgens mij is alleen SSH een risico factor, en ben is dus, gebasseerd op de output, schoon :D :D
  • ik heb tevens besloten mijzelf te upgraden naar: [quote:de8b3bb5a4]openssl-0.9.7f-6.fc3.i386.rpm openssl-devel-0.9.7f-6.fc3.i386.rpm openssl-perl-0.9.7f-6.fc3.i386.rpm [code:1:de8b3bb5a4][/code:1:de8b3bb5a4][/quote:de8b3bb5a4] in plaats van 0.9.7a-40 Evert
  • Had je met chkrootkit wel de laatste versie? 0.44 geloof ik... bij 0.43 gaf ie bij mij ook onterechte alarms.
  • ik heb versie 0.45-2.1 Evert

Beantwoord deze vraag

Weet jij het antwoord op deze vraag? Registreer of meld je aan met je account

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.