Re: bindshell und chkrootkit
Evgeni Golov wrote:
Hallo Evgeni!
>>Mir hat's einen Schreck eingejagt, als chkrootkit einen angeblichen
>>Trojaner identifizierte:
>>Checking `bindshell'... INFECTED (PORTS: 1008)
>>
>>Und auf Port 1008 läuft der rpc.statd
>>udp 0 0 *:1008 *:* 508/rpc.statd
>
>
> der rpc.statd bindet sich immer an einen zufälligen freien Port, ist
> manchmal verwirrend.
>
>
>>Jetzt hab ich dazu noch einen alten Bugreport gefunden:
>>http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=160539
>>
>>Entweder ist der Bug noch immer vorhanden oder ich hab wirklich einen
>>Trojaner. Die MAC der externen NIC meines Servers (3Com 905C) hat sich
>>in ein paar Minuten gleich vier mal verändert, das macht micht
>>stutzig.
>
>
> Allerdings ändert der statd nicht die MAC deiner NIC, was ich sehr
> verwunderlich finde.
Ich vermute daß jemand in meinem Netzwerk versucht hat, meine IP
einzustellen. Das würde das Verhalten erklären.
>>Dann hab ich den rpc.statd gekillt und nun findet chkrootkit keinen
>>bindshell Trojaner mehr.
>
>
> War es wirklich der statd oder irgend ein Binary mit dem Namen
> rpc.statd (man nennt n Trojaner halt nicht dangerous_trojan oder so ;-)
> Mich würde die chkrootkit Ausgabe weniger verwundern, als das Verhalten
> deiner NIC. Ist das seit dem Killen von statd nochmal passiert?
Hm, wie soll ich rausfinden ob das wirklich der rpc.statd war?
Und nein, es ist bis jetzt nicht mehr passiert, was obige Vermutung
bestärkt.
cheers,
Gerald
--
http://holl.co.at
Reply to: