Re: chkrootkit alarm
Am Montag, 27. November 2006 12:18 schrieb Sven Bröckling:
> Hi,
>
> Am Mon, 27 Nov 2006 12:02:13 +0100
>
> schrieb "Roland M. Kruggel" <rk.liste@bbf7.de>:
> > ich habe chkrootkit installiert und bekomme heute morgen eine
> > mail mit dem inhalt
> > INFECTED (PORTS: 465)
> > Was ist zu tun?
Der server ist mailserver
> * Benutzt du ssmtp?
ja. (etwas unsicher)
Verbindungen zum und vom Mailserver (postfix). Die Verbindungen werden
über ssl/tls gesichert
> * Hast du zwischenzeitlich etwas installiert/die Konfiguration
> angepasst (Postfix z.B.)?
Ja. Gestern abend ein update.
> * Kommst du physikalisch an den Rechner?
Nein.
Wenn es nötig ist mit fremder hilfe doch
> * Was sagt netstat -pltn ?
mail1:/usr/local/bin# netstat -pltn
Aktive Internetverbindungen (Nur Server)
Proto Recv-Q Send-Q Local Address Foreign Address
State PID/Program name
tcp 0 0 0.0.0.0:993 0.0.0.0:*
LISTEN 4072/dovecot
tcp 0 0 127.0.0.1:10024 0.0.0.0:*
LISTEN 3868/amavisd (maste
tcp 0 0 127.0.0.1:10025 0.0.0.0:*
LISTEN 3998/master
tcp 0 0 0.0.0.0:587 0.0.0.0:*
LISTEN 3998/master
tcp 0 0 0.0.0.0:143 0.0.0.0:*
LISTEN 4072/dovecot
tcp 0 0 0.0.0.0:465 0.0.0.0:*
LISTEN 3998/master
tcp 0 0 0.0.0.0:25 0.0.0.0:*
LISTEN 3998/master
tcp6 0 0 :::80 :::*
LISTEN 4161/apache2
tcp6 0 0 :::22 :::*
LISTEN 6757/sshd
> Wenn du an den Rechner kommst und nichts installiert oder an der
> Konfiguration geändert hast, würde ich zunächst mal ein Image von
> dem Dateisystem ziehen (offline wenns geht...). Daran kannst du
> dann gefahrloser erforschen was sich geändert hat.
Ich nehme mal an das es mit dem Update zusammenhängt. Wie kann ich das
verifizieren? Wie kann ich dem vorbeugen?
--
cu
Roland Kruggel mailto: rk.liste at bbf7.de
System: Intel, Debian etch, 2.6.16.16, xfce4 KDE 3.5
Reply to: