Re: chkrootkit - bindshell INFECTED Port 465

[Andreas Metzler <ametzler@downhill.at.eu.org>]

Michael Holtermann <spamnov2003@gmx.de> wrote:
> Ich habe da ein kleines Problem mit meinem Heimserver:
> Heute morgen lief der Apache nicht mehr, nachdem bis vor etwa einer Stunde
> noch Anfragen abgeblockt wurden (Anfragen betreffs eines IIS-Exploits).

> Spaßenshalber habe ich chkrootkit drüberlaufen lassen, das mir vorwirft,
> bindshell sei INFECTED (Ports 465).

> Lt. netstat -apn | grep 465 hört ein Prozess namens "master" auf diesem
> Port, was laut Prozessliste postfix ist. Beende ich postfix gibt chkrootkit
> Ruhe, starte ich den mailserver ist auch der Port wieder offen.
[...]
> Falls das normal ist: warum meldet sich chkrootkit?

Bug.

http://bugs.debian.org/160539
              cu andreas
-- 
NMUs aren't an insult, they're not an attack, and they're
not something to avoid or be ashamed of.
                    Anthony Towns in 2004-02 on debian-devel