On Wed, 22 Jun 2005 20:24:27 +0200 Gerald Holl <gerald@holl.co.at> wrote: > Hallo! Abend! > Mir hat's einen Schreck eingejagt, als chkrootkit einen angeblichen > Trojaner identifizierte: > Checking `bindshell'... INFECTED (PORTS: 1008) > > Und auf Port 1008 läuft der rpc.statd > udp 0 0 *:1008 *:* 508/rpc.statd der rpc.statd bindet sich immer an einen zufälligen freien Port, ist manchmal verwirrend. > Jetzt hab ich dazu noch einen alten Bugreport gefunden: > http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=160539 > > Entweder ist der Bug noch immer vorhanden oder ich hab wirklich einen > Trojaner. Die MAC der externen NIC meines Servers (3Com 905C) hat sich > in ein paar Minuten gleich vier mal verändert, das macht micht > stutzig. Allerdings ändert der statd nicht die MAC deiner NIC, was ich sehr verwunderlich finde. > Dann hab ich den rpc.statd gekillt und nun findet chkrootkit keinen > bindshell Trojaner mehr. War es wirklich der statd oder irgend ein Binary mit dem Namen rpc.statd (man nennt n Trojaner halt nicht dangerous_trojan oder so ;-) Mich würde die chkrootkit Ausgabe weniger verwundern, als das Verhalten deiner NIC. Ist das seit dem Killen von statd nochmal passiert? > Gerald Evgeni - slightly confused -- ^^^ | Evgeni -SargentD- Golov (sargentd@die-welt.net) d(O_o)b | PGP-Key-ID: 0xAC15B50C >-|-< | WWW: www.die-welt.net ICQ: 54116744 / \ | IRC: #sod @ irc.german-freakz.net
Attachment:
pgpENao8LPXKp.pgp
Description: PGP signature