Re: chkrootkit alarm
Am Montag, 27. November 2006 13:01 schrieb Sven Bröckling:
> Hi,
>
> > > * Hast du zwischenzeitlich etwas installiert/die Konfiguration
> > > angepasst (Postfix z.B.)?
> >
> > Ja. Gestern abend ein update.
> >
> > > * Kommst du physikalisch an den Rechner?
> >
> > Nein.
> > Wenn es nötig ist mit fremder hilfe doch
>
> Das könnte es wohl sein. Ich bin allerdings nicht im Bilde, was
> sich (ggf. automatisch) bei der Konfiguration von Postfix geändert
> hat. Hängt wohl auch davon ab wie lange dein letztes Update zurück
> liegt.
Letztes Update ist 2 Tage zuvor gemacht worden.
> > > * Was sagt netstat -pltn ?
> >
> > mail1:/usr/local/bin# netstat -pltn
> > tcp 0 0 0.0.0.0:465 0.0.0.0:*
> > LISTEN 3998/master
>
> Am Port lauscht wohl der Master Prozess von Postfix, von daher
> würde ich erst einmal nichts ungewöhnliches vermuten. Nur solltest
> du sicherstellen warum das jetzt plötzlich aufkommt.
Ich habe gestern ssl/tsl in Postfix installiert. ja, das könnte es
sein. Dort ist in der master.cf smtps und submission hinzugrkommen.
> > Ich nehme mal an das es mit dem Update zusammenhängt. Wie kann
> > ich das verifizieren? Wie kann ich dem vorbeugen?
>
> Denke ich auch. Wenn du ein Backup von vorher hast könntest du mal
> deine Postfix Konfiguration unter die Lupe nehmen. Irgendetwas muss
> das Teil ja angeknipst haben.
Leider noch kein vollständiges. Die Daten sind zwar gesichert aber
nicht die binaries. Der Server läuft erst seit ein paar Tagen.
> Von wo nach wo hast du denn aktualisiert?
etch
> Was ich allerdings nicht weiss: Wie kommt chkrootkit dazu, den
> offenen Port 465 als INFECTED anzuzeigen? Erkennt das doch ein
> Programm dahinter, und ist das ggf. doch etwas anderes, was sich
> nur als postfix/master ausgibt?
Da geht auch mein Gedankengang hin.
Wie kann ich den port scannen das er mir die zugriffe anzeigt die
NICHT von postfix/master kommen?
--
cu
Roland Kruggel mailto: rk.liste at bbf7.de
System: Intel, Debian etch, 2.6.16.16, xfce4 KDE 3.5
Reply to: