Re: Chkrootkit Fehlalarme?
On Sat, Jan 08, 2005 at 01:34:28PM +0100, Markus Raab wrote:
> Checking `bindshell'... INFECTED (PORTS: 4000)
>
> hat nichts zu bedeuten wenn irgendein Programm auf Port 4000 lauscht.
> Die Überprüfung könnt schon ein bisschen ausgeklügelter sein, einfach
> schauen ob auf irgendeinen Port gelauscht wird, ist nicht gerade
> Weisheit letzter Schluss, der Hacker könnte ja irgendeines nehmen. Oder
> funktioniert es eh anders?
Nichts genaues weiß ich nicht aber ich würde sagen das chkrootkit zum
überprüfen eventuell kompromittierter Dateien ist, also nicht unbedingt
für Portchecks.
Die sind halt auf oder nicht und wenn ein Port von innen offen ist, der
chkrootkit komisch vorkommt, dann meckert er halt.
> Wenn ich das Programm (welches nicht bösartig ist, es handelt sich um
> mldonkey) beende was auf Port 4000 gelauscht hat:
>
> Checking `bindshell'... not infected
Das ist allerdings insofern komisch, das bei mir eMule läuft und
chkrootkit bei mir nicht meckert. Allerdings lauscht er bei mir, glaub
ich, auf Port 4001.
> Ein anderer Fehler ist, dass /usr/lib/.clean immer als verdächtige Datei
> eingestuft wird, obwohl diese Datei "typisch Debian" ist.
Die Datei gibt es bei mir auf dem System nicht, zumindest nicht unter
dem Path (woanders hab ich nicht gesucht).
schöne Grüße aus Hamburg,
Nico
--
It`s not a trick...it`s Linux! | web: www.linico.de
-----------°°----------- | mailto: nico@linico.de
Nico Jochens - MCSE und CNA | Registered Linux User #313928
Hamburg, Germany | PGP-Signature: kommt noch
Reply to: