Current time: 11-15-2024, 02:04 PM Hello There, Guest! (LoginRegister)


Thread Closed 
[ERLEDIGT] chkrootkit infiziert?
Author Message
bb21 Offline
Junior Member
*

Posts: 56
Joined: Oct 2007
Reputation: 0
Post: #1
[ERLEDIGT] chkrootkit infiziert?
hallo allerseits Smile

ich habe gestern mal wiedereine aktuelle version von dem nighly bulid aufgespielt auf einem v server.
heue habe ich in der chkrootkit log diese einträge bekommen:

Checking `bindshell'... INFECTED (PORTS: 465)
Checking `lkm'... You have 154 process hidden for readdir command
You have 1 process hidden for ps command
chkproc: Warning: Possible LKM Trojan installed

da habe ich mal nachgesehn und ein netstat -nlp | grep 465 eingeschmissen was mir sagt:
tcp 0 0 0.0.0.0:465 0.0.0.0:* LISTEN 3618/master

der prozess 3618 ist Postfix also muss ich mir da nun keine sorgen machen oder wie ist das?
in den conf files zu postfix konnte ich diesen port nirgens entdecken, 12525 und 60000 sind postgrey und policyd-weight.

das Possible LKM Trojan installed überseh ich mal, da das system neu aufgesetzt ist und onkel googel meint das sehr viele diesen eintrag geniessen dürfen, was wohl mit meinem kernel zu tun hat.
die meldung mit der bindshell hatte ich bisher bei keinen der nightly bulids deswegen dacht ich ich frage hier mal nach.
vieleicht könnt ihr mir das erklären.

greez bb21
(This post was last modified: 12-31-2007 07:37 PM by BeNe.)
12-27-2007 11:13 PM
Find all posts by this user
joximu Offline
helper
*****
Moderators

Posts: 7,024
Joined: Jan 2007
Reputation: 92
Post: #2
RE: chkrootkit infiziert?
465 ist SMTP mit Verschlüsselung...

Wenn du also TLS abschaltest, dann sollte Postfix auch ohne Port 465 rennen...

ist natürlich etwas schwach von chkrootkit... :-)

Gruss J
12-28-2007 12:20 AM
Visit this user's website Find all posts by this user
BeNe Offline
Moderator
*****
Moderators

Posts: 5,899
Joined: Jan 2007
Reputation: 68
Post: #3
RE: chkrootkit infiziert?
Zudem hatten wir das Thema schon mal --> http://www.isp-control.net/forum/rootkitlog-t-1932.html Wink

Greez BeNe
12-28-2007 08:50 PM
Visit this user's website Find all posts by this user
joximu Offline
helper
*****
Moderators

Posts: 7,024
Joined: Jan 2007
Reputation: 92
Post: #4
RE: chkrootkit infiziert?
Das stimmt und zeigt, dass die Suchfunktion nicht benutzt wird :-(
12-28-2007 08:55 PM
Visit this user's website Find all posts by this user
bb21 Offline
Junior Member
*

Posts: 56
Joined: Oct 2007
Reputation: 0
Post: #5
RE: chkrootkit infiziert?
asche auf mein haupt, hab die suche nicht benutzt... hab die beiträge so durchgesehn Sad
aber ich bedanke mich denoch für eure antworten. ihr seit nen gutes team!
Ich wünsch euch noch nen guten rutsch ins neue!

greez bb21
12-31-2007 07:34 PM
Find all posts by this user
BeNe Offline
Moderator
*****
Moderators

Posts: 5,899
Joined: Jan 2007
Reputation: 68
Post: #6
RE: chkrootkit infiziert?
Das nächste mal dann halt Wink Dir auch einen Guten Rutsch in 2008
Dann mach ich hier mal zu, gibt ja schon einen Thread zum Thema.

[Image: closed.png]

Greez BeNe
12-31-2007 07:37 PM
Visit this user's website Find all posts by this user
Thread Closed 


Forum Jump:


User(s) browsing this thread: 1 Guest(s)