[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: [rkhunter] pidgin

Harald Krammer, Sat Mar 14 2009 22:36:16 GMT+0100 (CET):
> Peter Jordan schrieb:
>> Hallo,
> 
>> auf meinem debian testing System hat mir rkhunter heute folgendes geschickt:
> 
>> Warning: Network TCP port 60922 is being used by /usr/bin/pidgin.
>> Possible rootkit: zaRwT.KiT
>>          Use the 'lsof -i' or 'netstat -an' command to check this.
> 
>> ein "netstat -an | grep 60922" ergab folgendes:
> 
>> tcp        0      0 192.168.1.100:60922      64.4.34.214:1863
>> ESTABLISHED
> 
>> ein "host 64.4.34.214" folgendes:
>> 214.34.4.64.in-addr.arpa domain name pointer bay12-a3.bay12.hotmail.com.
>> 214.34.4.64.in-addr.arpa domain name pointer by2msg3020506.phx.gbl.
> 
>> Daraufhin habe ich den MSN Account in Pidgin off- und danach wieder
>> online gestellt. Danach lief rkhunter ohne Meldung durch.
> 
>> Kann ich davon ausgehen, dass mein System sauber ist oder sollte ich
>> noch irgendwas unternehmen?
> 
>> Vielen Dank,
> 
>> PJ
> 
> 
> Hallo ,
> 
> sieht nach einer Falschmeldung aus.
> http://bugs.contribs.org/show_bug.cgi?id=4614
> http://osdir.com/ml/security.rkhunter.user/2008-04/msg00020.html
> 
> Ich würde die Datei '/usr/bin/pidgin' mittels md5sum gegen die
> Paket-Version vergleichen. Um ganz sicher zu gehen, sogar in einer
> Live-CD-Umgebung.
> 
> 
> Gruß,
> Harald
> 


Ich habe die Datei per ssh auf ein anderes System kopiert und die
Prüfsumme ist:
4592a4ae6ff50328097d5cba0cc5ed57  pidgin

Kann das jemand für amd64 und Version 2.5.5-1 0 bestätigen?

Vielen Dank,

PJ
Reply to: