bindshell und chkrootkit

To: debian-user-german@lists.debian.org
Subject: bindshell und chkrootkit
From: Gerald Holl <gerald@holl.co.at>
Date: Wed, 22 Jun 2005 20:24:27 +0200
Message-id: <[🔎] 42B9ACDB.2030906@holl.co.at>
Reply-to: debian-user-german@lists.debian.org

Hallo!

Mir hat's einen Schreck eingejagt, als chkrootkit einen angeblichen
Trojaner identifizierte:
Checking `bindshell'... INFECTED (PORTS:  1008)

Und auf Port 1008 läuft der rpc.statd
udp       0    0 *:1008        *:*     508/rpc.statd


Jetzt hab ich dazu noch einen alten Bugreport gefunden:
http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=160539


Entweder ist der Bug noch immer vorhanden oder ich hab wirklich einen
Trojaner. Die MAC der externen NIC meines Servers (3Com 905C) hat sich
in ein paar Minuten gleich vier mal verändert, das macht micht stutzig.

Dann hab ich den rpc.statd gekillt und nun findet chkrootkit keinen
bindshell Trojaner mehr.

Debian sarge.


cheers,
Gerald

-- 
Cola am Morgen vertreibt Kummer und Sorgen

Reply to:

Follow-Ups:
- Re: bindshell und chkrootkit
  - From: Evgeni Golov <sargentd@die-welt.net>

Prev by Date: Re: ftp server der so was kann
Next by Date: Re: bindshell und chkrootkit
Previous by thread: Re: ftp server der so was kann
Next by thread: Re: bindshell und chkrootkit
Index(es):
- Date
- Thread