Current time: 11-15-2024, 07:02 AM Hello There, Guest! (LoginRegister)


Thread Closed 
 
Thread Rating:
  • 0 Votes - 0 Average
  • 1
  • 2
  • 3
  • 4
  • 5
[ERLEDIGT] Rootkitlog
Author Message
MoritzDorn Offline
Junior Member
*

Posts: 178
Joined: Nov 2007
Reputation: 0
Post: #1
[ERLEDIGT] Rootkitlog
Hi,

hab grade mal in mein Rootkitlog geschaut und da was gefunden:

ROOTKITLOG Wrote:Checking `bindshell'... INFECTED (PORTS: 465)
Checking `lkm'... You have 6 process hidden for ps command
chkproc: Warning: Possible LKM Trojan installed

Was bedeutet das genau? Wie kann ich das Problem lösen?
(This post was last modified: 03-05-2008 04:30 PM by BeNe.)
12-04-2007 12:03 AM
Visit this user's website Find all posts by this user
joximu Offline
helper
*****
Moderators

Posts: 7,024
Joined: Jan 2007
Reputation: 92
Post: #2
RE: Rootkitlog
Das ist nun schwierig: wenn du nicht weisst, was zu tun ist (sprich: du kennst dich nicht so aus), dann würde ich dir zu einer Neuinstallation raten.
Du scheinst jedenfalls Besuch zu haben und da sich der verstecken kann, dürfte der mehr Wissen als du.

Wenn du selbst dahinter willst: rausfinden, was "zuviel " läuft und wo das binary sitzt. Prozess killen, ggf. alle verseuchten Binaries mit dem orginal ersetzen. Fehler suchen, wie der Eindringling reinkommen konnte (schwache Passwörter oder fehlerhafte/alte PHP Skripte etc) und beheben.

Gruss J
12-04-2007 12:54 AM
Visit this user's website Find all posts by this user
BeNe Offline
Moderator
*****
Moderators

Posts: 5,899
Joined: Jan 2007
Reputation: 68
Post: #3
RE: Rootkitlog
Denke er das es daran liegt das der Port 465 SMTPs offen ist.
Und RootKitLog einfach nur deswegen anschlägt!

Greez BeNe
12-04-2007 12:57 AM
Visit this user's website Find all posts by this user
joximu Offline
helper
*****
Moderators

Posts: 7,024
Joined: Jan 2007
Reputation: 92
Post: #4
RE: Rootkitlog
Kann das jemand bestätigen: wenn smtps läuft (was ja Port 465 entspricht), dass dann diese Falschmeldung von rootkitlog ausgegeben wird?
12-04-2007 01:02 AM
Visit this user's website Find all posts by this user
MoritzDorn Offline
Junior Member
*

Posts: 178
Joined: Nov 2007
Reputation: 0
Post: #5
RE: Rootkitlog
Ich hab mal den Port hinzugefügt, und jetzt bei Server Status steht da Up.

P.S: Bei Telnet steht down in grüner schrift, sollte das nicht rot sein?
12-04-2007 01:04 AM
Visit this user's website Find all posts by this user
joximu Offline
helper
*****
Moderators

Posts: 7,024
Joined: Jan 2007
Reputation: 92
Post: #6
RE: Rootkitlog
Port 465: es scheint dort auf jeden Fall was zu laufen...

Hast du dein postfix soweit angepasst, dass du auch verschlüsselte SMTP Verbindungen annimmst? was kommt denn, wenn du ein telnet auf Port 465 machst?

Telnet: nein, das ist richtig so: der soll down sein. Wurde schonmal diskutiert...
(wobei ich mich frage, welche Distro heute noch den telnetserver standardmässig einschaltet - insofern könnte man das weglassn, wer telnet-daemon absichtlich einschaltet ist selbst Schuld...)

/J
12-04-2007 01:16 AM
Visit this user's website Find all posts by this user
MoritzDorn Offline
Junior Member
*

Posts: 178
Joined: Nov 2007
Reputation: 0
Post: #7
RE: Rootkitlog
joximu Wrote:Port 465: es scheint dort auf jeden Fall was zu laufen...

Hast du dein postfix soweit angepasst, dass du auch verschlüsselte SMTP Verbindungen annimmst? was kommt denn, wenn du ein telnet auf Port 465 machst?

Telnet: nein, das ist richtig so: der soll down sein. Wurde schonmal diskutiert...
(wobei ich mich frage, welche Distro heute noch den telnetserver standardmässig einschaltet - insofern könnte man das weglassn, wer telnet-daemon absichtlich einschaltet ist selbst Schuld...)

/J

Dann passiert nix, bleibt schwarz.

Ich meine auch nur bei dem Telnet, dass dann doch die Schrift rot (down) anstatt grün (up) sein sollte. Ist das ein Bug im Template?
12-04-2007 01:19 AM
Visit this user's website Find all posts by this user
joximu Offline
helper
*****
Moderators

Posts: 7,024
Joined: Jan 2007
Reputation: 92
Post: #8
RE: Rootkitlog
hm, wenn ich bei mir auf einen smtps server telnette, dann kommt wenigstens die Begrüssung, dass ich verbunden bin...
und wenn du es nicht absichtlich eingerichtet hast (smtps) dann nehme ich halt wieder an, was oben steht.

Telnet: nein, das ist Absicht (ich kanns noch ein paar mal Wiederholen). Grün ist gut, rot ist aufpassen - Telnet down ist gut, Telnet offen: aufpassen.

/J
12-04-2007 01:26 AM
Visit this user's website Find all posts by this user
BeNe Offline
Moderator
*****
Moderators

Posts: 5,899
Joined: Jan 2007
Reputation: 68
Post: #9
RE: Rootkitlog
Quote:Kann das jemand bestätigen: wenn smtps läuft (was ja Port 465 entspricht), dass dann diese Falschmeldung von rootkitlog ausgegeben wird?
Ja - kann ich!
rootkitlog scheint einfach zu prüfen ob der Port auf oder zu ist, aber nicht mehr.
--> chkproc: Warning: Possible LKM Trojan installed

Greez BeNe
12-04-2007 01:28 AM
Visit this user's website Find all posts by this user
joximu Offline
helper
*****
Moderators

Posts: 7,024
Joined: Jan 2007
Reputation: 92
Post: #10
RE: Rootkitlog
Na dann scheint MoritzDorn wohl SMTPS aktiviert zu haben...

hoffe ich mal... :-)

/J
12-04-2007 01:30 AM
Visit this user's website Find all posts by this user
Thread Closed 


Forum Jump:


User(s) browsing this thread: 2 Guest(s)