[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: chkrootkit alarm

Hi,

> > * Hast du zwischenzeitlich etwas installiert/die Konfiguration
> >   angepasst (Postfix z.B.)?
> Ja. Gestern abend ein update. 

> > * Kommst du physikalisch an den Rechner?
> Nein.
> Wenn es nötig ist mit fremder hilfe doch
Das könnte es wohl sein. Ich bin allerdings nicht im Bilde, was sich
(ggf. automatisch) bei der Konfiguration von Postfix geändert hat.
Hängt wohl auch davon ab wie lange dein letztes Update zurück liegt.

> > * Was sagt netstat -pltn ?
> mail1:/usr/local/bin# netstat -pltn
> tcp        0      0 0.0.0.0:465             0.0.0.0:*               
> LISTEN     3998/master
Am Port lauscht wohl der Master Prozess von Postfix, von daher würde
ich erst einmal nichts ungewöhnliches vermuten. Nur solltest du
sicherstellen warum das jetzt plötzlich aufkommt. 

> Ich nehme mal an das es mit dem Update zusammenhängt. Wie kann ich
> das verifizieren? Wie kann ich dem vorbeugen?
Denke ich auch. Wenn du ein Backup von vorher hast könntest du mal
deine Postfix Konfiguration unter die Lupe nehmen. Irgendetwas muss das
Teil ja angeknipst haben. 

Von wo nach wo hast du denn aktualisiert?

Was ich allerdings nicht weiss: Wie kommt chkrootkit dazu, den offenen
Port 465 als INFECTED anzuzeigen? Erkennt das doch ein Programm
dahinter, und ist das ggf. doch etwas anderes, was sich nur als
postfix/master ausgibt?

Sven
Reply to: