Re: Was sagt mir diese chkrootkit-Meldung
On Sun, Jan 09, 2005 at 03:43:49PM +0100, Nico Jochens wrote:
> On Sun, Jan 09, 2005 at 12:07:47PM +0100, Jan Lühr wrote:
> > Am Sonntag, 9. Januar 2005 10:23 schrieb Sven Hoexter:
> > > On Sun, Jan 09, 2005 at 10:14:28AM +0100, Jan Lühr wrote:
> > > > Am Sonntag, 9. Januar 2005 06:57 schrieb Nico Jochens:
> > > > > da ich erst seit gestern mein chkrootkit laufen habe jetzt gleich mal
> > > > > die Frage, habe ich bei dieser Mail von chkrootkit ein Problem?
> > > > >
> > > > > /etc/cron.daily/chkrootkit:
> > > > >
> > > > > /usr/lib/GNUstep/System/.GNUsteprc
> > > > >
> > > > > eth2: PACKET SNIFFER(/sbin/dhclient[2980], /sbin/dhclient[2945])
> > > >
> > > > Was schreibt chkrootkit denn genau? Sicher nicht nur das..
> > >
> > > Sieht aus wie eine der ueblichen false-positive Meldungen. Da wird
> > > der dhcp client als sniffer auf dem Interface missverstanden.
> > > Nichts besorgniss erregendes.
>
> Hab ich mir gedacht. Und was ist mit der .GNUsteprc? Ist eine Textdatei
> mit dem Owner root und den rechten -rw-r--r--.
> Der Inhalt der Datei lautet "GNUSTEP_USER_ROOT=~/GNUstep". Ich glaub ja
> nicht das die was zu bedeuten hat nur warum mahnt chkrootkit die an?
Mueste man sich chkrootkit mal genauer angucken wie es auf den Trichter
gekommen ist die anzumoepern. Vielleicht benutzte ein rootkit mal diese
oder eine aehnliche Datei als Tarnung.
> > Naja, man sollte zumindest sicher gehen, dass das dhclient binary noch das
> > alte ist ;)
>
> Würd ich auch sagen aber wie? Nur Versionsnummer reicht ja wohl nicht.
dafuer gibt es tripwire oder aide. Die ueberpruefen die md5 check summe.
Kannst auf einem sicheren system auch einfach das Debian Paket entpacken
und dann die md5summe der binarys vergleichen. Wo anders compilete und statisch
gelinkte md5sum version vorrausgesetzt (wenn du ganz ganz sicher gehen willst).
HTH
Sven
--
If God passed a mic to me to speak
I'd say stay in bed, world
Sleep in peace
[The Cardigans - No sleep]
Reply to: