bindshell chkrootkit warning

To: debian list <debian-italian@lists.debian.org>
Subject: bindshell chkrootkit warning
From: alessio <le.gauche@fastwebnet.it>
Date: Wed, 13 Jan 2010 03:52:30 +0100
Message-id: <[🔎] 20100113035230.093d1e86@testing.fastwebnet.it>

un saluto a tutta la lista :)

ho un piccolo server (debian lenny @ 2.6.26-2-686) lamp che uso per
alcuni test al quale ho recentemente aggiunto anche un server ftp
(proftp), ho un cron che schedula una scansione del sistema mediante
rkhunter e chkrootkit

leggendo il log di chkrootkit è saltato fuori questo warning

Checking `bindshell'...  INFECTED (PORTS:  1008)

anche se rkhunter non ha rilevato nulla mi sono un tantino allarmato e
ho controllato la porta in questione, lsof stampa questo risultato

# lsof -i -P | grep 1008
rpc.statd  2104    statd    5u  IPv4    4821       UDP *:1008 

ora non sono propriamente un esperto ma rcp.statd è un servizio legato
a nfs se non sbaglio, posso considerare il warning di chkrootkit come
un falso positivo o mi conviene fare altri test? e nel caso in cui
sia necessario farne come posso muovermi?

grazie anticipatamente per ogni eventuale risposta.

alessio.

Reply to:

Follow-Ups:
- Re: bindshell chkrootkit warning
  - From: mauro <mauro@nonsolocomputer.com>
- Re: bindshell chkrootkit warning
  - From: Paolo Sala <piviul@riminilug.it>

Prev by Date: Fwd: grub rescue mode... mi si è suicidato il portatile
Next by Date: Re: Fwd: grub rescue mode... mi si è suicidato il portatile
Previous by thread: Fwd: grub rescue mode... mi si è suicidato il portatile
Next by thread: Re: bindshell chkrootkit warning
Index(es):
- Date
- Thread