[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Was sagt mir diese chkrootkit-Meldung

On Sun, Jan 09, 2005 at 06:11:06PM +0100, Nico Jochens wrote:
> On Sun, Jan 09, 2005 at 05:04:41PM +0100, Markus Raab wrote:
> > Nico Jochens wrote:
> > 
> > > On Sun, Jan 09, 2005 at 12:07:47PM +0100, Jan Lühr wrote:
> > >> ja hallo erstmal,...
> > >> 
> > >> Am Sonntag, 9. Januar 2005 10:23 schrieb Sven Hoexter:
> > >> > On Sun, Jan 09, 2005 at 10:14:28AM +0100, Jan Lühr wrote:
> > >> > > ja hallo erstmal,...
> > >> > >
> > >> > > Am Sonntag, 9. Januar 2005 06:57 schrieb Nico Jochens:
> > >> > > > Moin Moin,
> > >> > > >
> > >> > > > da ich erst seit gestern mein chkrootkit laufen habe jetzt
> > >> > > > gleich mal die Frage, habe ich bei dieser Mail von chkrootkit
> > >> > > > ein Problem?
> > >> > > >
> > >> > > > /etc/cron.daily/chkrootkit:
> > >> > > >
> > >> > > > /usr/lib/GNUstep/System/.GNUsteprc
> > >> > > >
> > >> > > > eth2: PACKET SNIFFER(/sbin/dhclient[2980],
> > >> > > > /sbin/dhclient[2945])
> > >> > >
> > >> > > Was schreibt chkrootkit denn genau? Sicher nicht nur das..
> > >> >
> > >> > Sieht aus wie eine der ueblichen false-positive Meldungen. Da wird
> > >> > der dhcp client als sniffer auf dem Interface missverstanden.
> > >> > Nichts besorgniss erregendes.
> > > 
> > > Hab ich mir gedacht. Und was ist mit der .GNUsteprc? Ist eine
> > > Textdatei mit dem Owner root und den rechten -rw-r--r--.
> > > Der Inhalt der Datei lautet "GNUSTEP_USER_ROOT=~/GNUstep". Ich glaub
> > > ja nicht das die was zu bedeuten hat nur warum mahnt chkrootkit die
> > > an?
> > > 
> > >> Naja, man sollte zumindest sicher gehen, dass das dhclient binary
> > >> noch das alte ist ;)
> > > 
> > > Würd ich auch sagen aber wie? Nur Versionsnummer reicht ja wohl nicht.
> > 
> > debsums
> 
> Ja schön, weitere Programme kamen ja auch schon von Sven. Nun ist mein
> System schon mehrmal upgedatet. Ändern sich da nicht auch die
> MD5-Summen?
Natuerlich aendern die sich, entsprechend muss man auch nach jedem update
die aide db (jetzt mal als Beispiel) updaten.  Das laest sich nicht vermeiden.
Auf stable Systemen aendert sich aber im System Bereich normalerweise nur was
wenn security updates kommen und bei der Gelegenheit dated man dann halt die
db mit ab und kopiert sie wieder an $sicheren_platz. Auf unstable oder testing
Systemen mit taeglichen updates muss man da halt irgendwo fuer sich selber
einen Kompromiss finden.
Man kann sich das ganze dann da halt als Kompromiss so anpassen das aide
jede Nacht laeuft und dann halt das db file ueberschreibt und nur eine
email Verschickt mit den Aenderungen.

Gruesse,
Sven
-- 
If God passed a mic to me to speak
I'd say stay in bed, world
Sleep in peace
   [The Cardigans - No sleep]
Reply to: