+- ispCP - Board - Support (http://www.isp-control.net/forum)
+-- Forum: ispCP Omega International Area (/forum-22.html)
+--- Forum: German Corner (/forum-26.html)
+---- Forum: Archiv (/forum-54.html)
+---- Thread: [ERLEDIGT] Rootkitlog (/thread-1932.html)
Pages: 1 2
[ERLEDIGT] Rootkitlog - MoritzDorn - 12-04-2007 12:03 AM
Hi,
hab grade mal in mein Rootkitlog geschaut und da was gefunden:
ROOTKITLOG Wrote:Checking `bindshell'... INFECTED (PORTS: 465)
Checking `lkm'... You have 6 process hidden for ps command
chkproc: Warning: Possible LKM Trojan installed
Was bedeutet das genau? Wie kann ich das Problem lösen?
RE: Rootkitlog - joximu - 12-04-2007 12:54 AM
Das ist nun schwierig: wenn du nicht weisst, was zu tun ist (sprich: du kennst dich nicht so aus), dann würde ich dir zu einer Neuinstallation raten.
Du scheinst jedenfalls Besuch zu haben und da sich der verstecken kann, dürfte der mehr Wissen als du.
Wenn du selbst dahinter willst: rausfinden, was "zuviel " läuft und wo das binary sitzt. Prozess killen, ggf. alle verseuchten Binaries mit dem orginal ersetzen. Fehler suchen, wie der Eindringling reinkommen konnte (schwache Passwörter oder fehlerhafte/alte PHP Skripte etc) und beheben.
Gruss J
RE: Rootkitlog - BeNe - 12-04-2007 12:57 AM
Denke er das es daran liegt das der Port 465 SMTPs offen ist.
Und RootKitLog einfach nur deswegen anschlägt!
Greez BeNe
RE: Rootkitlog - joximu - 12-04-2007 01:02 AM
Kann das jemand bestätigen: wenn smtps läuft (was ja Port 465 entspricht), dass dann diese Falschmeldung von rootkitlog ausgegeben wird?
RE: Rootkitlog - MoritzDorn - 12-04-2007 01:04 AM
Ich hab mal den Port hinzugefügt, und jetzt bei Server Status steht da Up.
P.S: Bei Telnet steht down in grüner schrift, sollte das nicht rot sein?
RE: Rootkitlog - joximu - 12-04-2007 01:16 AM
Port 465: es scheint dort auf jeden Fall was zu laufen...
Hast du dein postfix soweit angepasst, dass du auch verschlüsselte SMTP Verbindungen annimmst? was kommt denn, wenn du ein telnet auf Port 465 machst?
Telnet: nein, das ist richtig so: der soll down sein. Wurde schonmal diskutiert...
(wobei ich mich frage, welche Distro heute noch den telnetserver standardmässig einschaltet - insofern könnte man das weglassn, wer telnet-daemon absichtlich einschaltet ist selbst Schuld...)
/J
RE: Rootkitlog - MoritzDorn - 12-04-2007 01:19 AM
joximu Wrote:Port 465: es scheint dort auf jeden Fall was zu laufen...
Hast du dein postfix soweit angepasst, dass du auch verschlüsselte SMTP Verbindungen annimmst? was kommt denn, wenn du ein telnet auf Port 465 machst?
Telnet: nein, das ist richtig so: der soll down sein. Wurde schonmal diskutiert...
(wobei ich mich frage, welche Distro heute noch den telnetserver standardmässig einschaltet - insofern könnte man das weglassn, wer telnet-daemon absichtlich einschaltet ist selbst Schuld...)
/J
Dann passiert nix, bleibt schwarz.
Ich meine auch nur bei dem Telnet, dass dann doch die Schrift rot (down) anstatt grün (up) sein sollte. Ist das ein Bug im Template?
RE: Rootkitlog - joximu - 12-04-2007 01:26 AM
hm, wenn ich bei mir auf einen smtps server telnette, dann kommt wenigstens die Begrüssung, dass ich verbunden bin...
und wenn du es nicht absichtlich eingerichtet hast (smtps) dann nehme ich halt wieder an, was oben steht.
Telnet: nein, das ist Absicht (ich kanns noch ein paar mal Wiederholen). Grün ist gut, rot ist aufpassen - Telnet down ist gut, Telnet offen: aufpassen.
/J
RE: Rootkitlog - BeNe - 12-04-2007 01:28 AM
Quote:Kann das jemand bestätigen: wenn smtps läuft (was ja Port 465 entspricht), dass dann diese Falschmeldung von rootkitlog ausgegeben wird?Ja - kann ich!
rootkitlog scheint einfach zu prüfen ob der Port auf oder zu ist, aber nicht mehr.
--> chkproc: Warning: Possible LKM Trojan installed
Greez BeNe
RE: Rootkitlog - joximu - 12-04-2007 01:30 AM
Na dann scheint MoritzDorn wohl SMTPS aktiviert zu haben...
hoffe ich mal... :-)
/J