chkrootkit und showtee

To: Debian-List User_DE <debian-user-german@lists.debian.org>
Subject: chkrootkit und showtee
From: Andre Timmermann <debian.lists@darktim.de>
Date: Thu, 14 Sep 2006 12:12:05 +0200
Message-id: <[🔎] 1158228725.1306.16.camel@localhost.localdomain>

Hallo Liste,

heute habe ich folgende Meldung von meinem System bekommen:

/etc/cron.daily/chkrootkit:
Warning: Possible Showtee Rootkit installed
INFECTED (PORTS:  465 4000)
eth0: PACKET SNIFFER(/usr/sbin/dhcpd3[21365])

Die Zeile mit Showtee ist neu. Der Rest ist OK. 

Ich habe also mal geschaut, was der SHowtee-Test macht:

-- 8< chkrootkit 8< --
### Showtee
if [ -d ${ROOTDIR}usr/lib/.egcs ] || [ -f ${ROOTDIR}usr/lib/libfl.so ]
|| \
[ -d ${ROOTDIR}usr/lib/.kinetic ] || [ -d ${ROOTDIR}usr/lib/.wormie ] ||
\
[ -f ${ROOTDIR}usr/lib/liblog.o ] || [ -f ${ROOTDIR}usr/include/addr.h ]
|| \
[ -f ${ROOTDIR}usr/include/cron.h ] || [ -f
${ROOTDIR}usr/include/file.h ] || \
[ -f ${ROOTDIR}usr/include/proc.h ] || [ -f
${ROOTDIR}usr/include/syslogs.h ] || \
[ -f ${ROOTDIR}usr/include/chk.h ]; then
echo "Warning: Possible Showtee Rootkit installed"
else
if  [ "${QUIET}" != "t" ]; then echo "nothing found"; fi
fi
-- >8 --

Die Datei, die er anmeckert ist
-rw-r--r-- 1 root root 774 2006-09-12 10:34 /usr/lib/libfl.so

Sie gehört zu keinem Debian-Paket aus dem normalen Repository,
allerdings habe ich auch die Quellen für freenx, bootsplash, blackdown
und marillat aktiviert.

Sie enthält folgenden ASCII-Text:
-- 8< --
/* GNU ld script
 *                                -*- Mode: C -*-
 * libfl.so ---
 * Author           : Manoj Srivastava ( srivasta@golden-gryphon.com )
 * Created On       : Mon Sep 11 13:25:55 2006
 * Created On Node  : glaurung.internal.golden-gryphon.com
 * Last Modified By : Manoj Srivastava
 * Last Modified On : Tue Sep 12 03:34:30 2006
 * Last Machine Used: glaurung.internal.golden-gryphon.com
 * Update Count     : 2
 * Status           : Unknown, Use with caution!
 * HISTORY          :
 * Description      :
 *
 * GNU ld script
 * When shared linking is requested, map the request to the PIC static
 * library, which is the closest we come to a shared library here.
 *
 * arch-tag: ce35efb4-3893-42c7-bdcb-56d95beba2ac
 */

INPUT( /usr/lib/libfl_pic.a );
-- >8 --

/usr/lib/libfl_pic.a seinerseits enthält zwei Dateien:
libmain.o und libyywrap.o

Es ist ja jetzt  nicht so, dass ich in Panik ausbreche, nur weil
chkrootkit mal hustet, aber wie bekomme ich jetzt raus, wer die Datei da
abgelegt hat (also welches Paket) und was das Ding macht?

Greetz,
Andre


-- 
BOFH-excuse of the day: CD-ROM server needs recalibration

Attachment: signature.asc
Description: Dies ist ein digital signierter Nachrichtenteil

Reply to:

Follow-Ups:
- Re: chkrootkit und showtee
  - From: Mathias Brodala <info@noctus.net>

Prev by Date: Re: Frage zu grep
Next by Date: Re: chkrootkit und showtee
Previous by thread: Re: Kernel-Image
Next by thread: Re: chkrootkit und showtee
Index(es):
- Date
- Thread