Re: chkrootkit alarm
Am Mon, 27 Nov 2006 13:16:08 +0100
schrieb "Roland M. Kruggel" <rk.liste@bbf7.de>:
> > > mail1:/usr/local/bin# netstat -pltn
> > > tcp 0 0 0.0.0.0:465 0.0.0.0:*
> > > LISTEN 3998/master
> > Am Port lauscht wohl der Master Prozess von Postfix, von daher
> > würde ich erst einmal nichts ungewöhnliches vermuten. Nur solltest
> > du sicherstellen warum das jetzt plötzlich aufkommt.
> Ich habe gestern ssl/tsl in Postfix installiert. ja, das könnte es
> sein. Dort ist in der master.cf smtps und submission hinzugrkommen.
Das sollte das dann wohl erklären :)
> > Was ich allerdings nicht weiss: Wie kommt chkrootkit dazu, den
> > offenen Port 465 als INFECTED anzuzeigen? Erkennt das doch ein
> > Programm dahinter, und ist das ggf. doch etwas anderes, was sich
> > nur als postfix/master ausgibt?
> Da geht auch mein Gedankengang hin.
> Wie kann ich den port scannen das er mir die zugriffe anzeigt die
> NICHT von postfix/master kommen?
Zugriffe prüft chkrootkit ja nicht. Es schaut einfach via netstat nach,
welche Ports offen sind, und meldet dann üblicherweise von Rootkits
belegte Ports. Das ganze ist ein Shell Script, du kannst da auch einen
Blick drauf werfen : /usr/sbin/chkrootkit
In der Funktion "bindshell" steht die "Prüfung" der Ports.
Sven
Reply to: