Re: [rkhunter] pidgin
Harald Krammer, Sat Mar 14 2009 22:36:16 GMT+0100 (CET):
> Peter Jordan schrieb:
>> Hallo,
>
>> auf meinem debian testing System hat mir rkhunter heute folgendes geschickt:
>
>> Warning: Network TCP port 60922 is being used by /usr/bin/pidgin.
>> Possible rootkit: zaRwT.KiT
>> Use the 'lsof -i' or 'netstat -an' command to check this.
>
>> ein "netstat -an | grep 60922" ergab folgendes:
>
>> tcp 0 0 192.168.1.100:60922 64.4.34.214:1863
>> ESTABLISHED
>
>> ein "host 64.4.34.214" folgendes:
>> 214.34.4.64.in-addr.arpa domain name pointer bay12-a3.bay12.hotmail.com.
>> 214.34.4.64.in-addr.arpa domain name pointer by2msg3020506.phx.gbl.
>
>> Daraufhin habe ich den MSN Account in Pidgin off- und danach wieder
>> online gestellt. Danach lief rkhunter ohne Meldung durch.
>
>> Kann ich davon ausgehen, dass mein System sauber ist oder sollte ich
>> noch irgendwas unternehmen?
>
>> Vielen Dank,
>
>> PJ
>
>
> Hallo ,
>
> sieht nach einer Falschmeldung aus.
> http://bugs.contribs.org/show_bug.cgi?id=4614
> http://osdir.com/ml/security.rkhunter.user/2008-04/msg00020.html
>
> Ich würde die Datei '/usr/bin/pidgin' mittels md5sum gegen die
> Paket-Version vergleichen. Um ganz sicher zu gehen, sogar in einer
> Live-CD-Umgebung.
>
>
> Gruß,
> Harald
>
Ich habe die Datei per ssh auf ein anderes System kopiert und die
Prüfsumme ist:
4592a4ae6ff50328097d5cba0cc5ed57 pidgin
Kann das jemand für amd64 und Version 2.5.5-1 0 bestätigen?
Vielen Dank,
PJ
Reply to: