Segnalazione di chkrootkit che non mi convince.

To: "_Debian Italian" <debian-italian@lists.debian.org>
Subject: Segnalazione di chkrootkit che non mi convince.
From: Michele Orsenigo <gira06@4orsi.it>
Date: Thu, 30 Nov 2006 12:16:12 +0100
Message-id: <[🔎] 200611301216.12502.gira06@4orsi.it>

Ho una macchina con sarge aggiornato con security.debian.org
Su questa macchina, sempre attiva e collegata ad una adsl con pppoe, girano 
oltre al kernel e al ppp, solo i demoni di ssh (accessibile solo da macchine 
interne e solo tramite certificati), bind, il monitor di nut e, da una 
ventina di giorni, openntp.

Stamattina mi sono trovato questo:

/etc/cron.daily/chkrootkit:
INFECTED (PORTS:  1978)

il check è quello su bindshell e la porta in oggetto è aperta da openntp verso 
la 123 di un server su internet.
Se fermo openntp, chkrootkit non mi segnala più nulla.
Se lo riavvio, di nuovo ottengo lo stesso messaggio ma con una porta 
differente.
Integrit, che gira ogni notte, non mi ha segnalato alcuna variazione di 
rilievo sul file system.
Google non  mi aiuta.
E' capitato a qualcun altro ?

-- 
Michele Orsenigo
gira06@4orsi.it
----------------

Reply to:

Prev by Date: Re: [per babbo natale] quali pacchetti deb avete sempre sognato ma mai avuto?
Next by Date: Re: Usare Netmeeting con wine
Previous by thread: [Fwd: Re: Usare Netmeeting con wine]
Next by thread: Permessi nella rete!
Index(es):
- Date
- Thread