Chkrootkit Fehlalarme?

To: debian-user-german@lists.debian.org
Subject: Chkrootkit Fehlalarme?
From: Markus Raab <markus.raab@aon.at>
Date: Sat, 08 Jan 2005 13:34:28 +0100
Message-id: <[🔎] nj05b2-kbc.ln1@ID-28785.user.dfncis.de>
Reply-to: garde@markus-raab.org

Checking `bindshell'... INFECTED (PORTS:  4000)

hat nichts zu bedeuten wenn irgendein Programm auf Port 4000 lauscht.
Die Überprüfung könnt schon ein bisschen ausgeklügelter sein, einfach
schauen ob auf irgendeinen Port gelauscht wird, ist nicht gerade
Weisheit letzter Schluss, der Hacker könnte ja irgendeines nehmen. Oder
funktioniert es eh anders?

Wenn ich das Programm (welches nicht bösartig ist, es handelt sich um
mldonkey) beende was auf Port 4000 gelauscht hat:

Checking `bindshell'... not infected

Ein anderer Fehler ist, dass /usr/lib/.clean immer als verdächtige Datei
eingestuft wird, obwohl diese Datei "typisch Debian" ist.

mfg Markus

-- 
http://www.markus-raab.org | Es gibt keine einfachen Lösungen für sehr
                      -o)  | komplizierte Probleme. Man muß den Faden
Kernel 2.6.7           /\  | geduldig entwirren, damit er nicht reißt.  
on a i686             _\_v | -- Michail Sergejewitsch Gorbatschow

Reply to:

Follow-Ups:
- Re: Chkrootkit Fehlalarme?
  - From: Nico Jochens <nico@linico.de>

Prev by Date: Re: HARDWARE Raid
Next by Date: Re: HARDWARE Raid
Previous by thread: RE: HARDWARE Raid
Next by thread: Re: Chkrootkit Fehlalarme?
Index(es):
- Date
- Thread