chkrootkit - bindshell INFECTED Port 465

To: debian-user-german@lists.debian.org
Subject: chkrootkit - bindshell INFECTED Port 465
From: Michael Holtermann <spamnov2003@gmx.de>
Date: Sun, 16 May 2004 11:07:04 +0200
Message-id: <[🔎] oinjn1-f5s.ln1@spinnacker.mholti.homelinux.net>

Moin!

Ich habe da ein kleines Problem mit meinem Heimserver:
Heute morgen lief der Apache nicht mehr, nachdem bis vor etwa einer Stunde
noch Anfragen abgeblockt wurden (Anfragen betreffs eines IIS-Exploits).

Spaßenshalber habe ich chkrootkit drüberlaufen lassen, das mir vorwirft,
bindshell sei INFECTED (Ports 465).

Lt. netstat -apn | grep 465 hört ein Prozess namens "master" auf diesem
Port, was laut Prozessliste postfix ist. Beende ich postfix gibt chkrootkit
Ruhe, starte ich den mailserver ist auch der Port wieder offen.

Mein Client im selben Netz, aber ohne Postfix, zeigt keine Auffälligkeiten.
Theoretisch leitet mein Netgear-Router nur Anfragen an http, smtp, ssh und
dergleichen durch, 465 sollte von außen nicht erreichbar sein.

telnet localhost 465 gibt ein "Connection closed by foreign host".

Bind ist nicht installiert.

Port 465 als solcher gehört smtps, was auch in der master.cf aufgeführt ist,
von mir derzeit aber noch nicht verwendet wird.

Frage: Hat sich da etwas installiert, was ich keinesfalls haben möchte?
Falls das normal ist: warum meldet sich chkrootkit?

Danke!
Grüße, Micha.

Reply to:

Follow-Ups:
- Re: chkrootkit - bindshell INFECTED Port 465
  - From: Andreas Metzler <ametzler@downhill.at.eu.org>

Prev by Date: Re: Alles hin - und nun?
Next by Date: Re: woody kernel 2.4.18-1-686 -> kein Brenner trotz ide-scsi
Previous by thread: Re: Problem mit dist-upgrade
Next by thread: Re: chkrootkit - bindshell INFECTED Port 465
Index(es):
- Date
- Thread