Re: chkrootkit alarm
Am Montag, 27. November 2006 13:37 schrieb Sven Bröckling:
> Am Mon, 27 Nov 2006 13:16:08 +0100
>
> schrieb "Roland M. Kruggel" <rk.liste@bbf7.de>:
> > > > mail1:/usr/local/bin# netstat -pltn
> > > > tcp 0 0 0.0.0.0:465 0.0.0.0:*
> > > > LISTEN 3998/master
> > >
> > > Am Port lauscht wohl der Master Prozess von Postfix, von daher
> > > würde ich erst einmal nichts ungewöhnliches vermuten. Nur
> > > solltest du sicherstellen warum das jetzt plötzlich aufkommt.
> >
> > Ich habe gestern ssl/tsl in Postfix installiert. ja, das könnte
> > es sein. Dort ist in der master.cf smtps und submission
> > hinzugrkommen.
>
> Das sollte das dann wohl erklären :)
>
> > > Was ich allerdings nicht weiss: Wie kommt chkrootkit dazu, den
> > > offenen Port 465 als INFECTED anzuzeigen? Erkennt das doch ein
> > > Programm dahinter, und ist das ggf. doch etwas anderes, was
> > > sich nur als postfix/master ausgibt?
> >
> > Da geht auch mein Gedankengang hin.
> > Wie kann ich den port scannen das er mir die zugriffe anzeigt die
> > NICHT von postfix/master kommen?
>
> Zugriffe prüft chkrootkit ja nicht. Es schaut einfach via netstat
> nach, welche Ports offen sind, und meldet dann üblicherweise von
> Rootkits belegte Ports. Das ganze ist ein Shell Script, du kannst
> da auch einen Blick drauf werfen : /usr/sbin/chkrootkit
> In der Funktion "bindshell" steht die "Prüfung" der Ports.
Danke für eure Hilfe.
Mein 'Herzklopfen' war wohl überflüssig.
--
cu
Roland Kruggel mailto: rk.liste at bbf7.de
System: Intel, Debian etch, 2.6.16.16, xfce4 KDE 3.5
Reply to: