Re: chkrootkit auf suse9.1

28 Jul 2004

      hallo thorsten,

das problem liegt wohl weniger an suse als vielmehr an chkrootkit-0.43. ich 
habe heute auch ueber eine stunde an dem problem gesessen. es werden z.b. 
auch top und find als INFECTED angezeigt. ist auch falsch.

eine suche bei google ergab dann, dass das problem schon direkt bei einer 
neuinstallation auftritt.

gruss rene
...
mein root server proivder hat mir unter anderem wegen dem rootkit problem
von 9.1 abgeraten bis suse dieses und andere probleme gefixt hat.
-----Original Message-----
From: Torsten Foertsch [mailto:torsten.foertsch@gmx.net]
Sent: Tuesday, July 27, 2004 10:34 AM
To: suse-linux@suse.com
Subject: chkrootkit auf suse9.1
Hallo,
ich habe gerade chkrootkit auf einer recht frischen 9.1 Kiste laufen
lassen.
Es sagt u.a.
# ./chkproc -v -v
PID  2438: not in readdir output
PID  2438: not in ps output
CWD  2438: /
EXE  2438: /usr/sbin/nscd
PID  2439: not in readdir output
PID  2439: not in ps output
CWD  2439: /
EXE  2439: /usr/sbin/nscd
PID  2440: not in readdir output
PID  2440: not in ps output
CWD  2440: /
EXE  2440: /usr/sbin/nscd
PID  2441: not in readdir output
PID  2441: not in ps output
CWD  2441: /
EXE  2441: /usr/sbin/nscd
PID  2442: not in readdir output
PID  2442: not in ps output
CWD  2442: /
EXE  2442: /usr/sbin/nscd
You have     5 process hidden for readdir command
You have     5 process hidden for ps command
Nun ist Process 2437 ein nicht versteckter /usr/sbin/nscd. Früher unter 2.4
gab es diesen Prozess im ps Output immer in mehreren Exemplaren. Seit Suse
9.1 nur einmal. Daher nehme ich an, dass es sich hierbei um falschen Alarm
handelt, da die angemeckerten Prozesse wohl nur weitere Threads des
Prozesses
2437 sind.
Liege ich da richtig?
Etwas bedenklicher macht mich, dass chkrootkit top und find als INFECTED
deklariert. In top findet er den String "/prof":
# strings -a /usr/bin/top | egrep
"/dev/xmx|/dev/ttyop|/dev/pty[pqrsx]|/dev/hdp|/dev/dsx|/prof|/dev/tux|proc\
. h"
/prof
und in find "security":
# strings -a /usr/bin/find | egrep
"/dev/ttyof|/dev/pty[pqrs]|/prof|/home/virus|security|file\.h"
security.selinux
Ist das normal?
Danke,
Torsten
--
Um die Liste abzubestellen, schicken Sie eine Mail an:
    suse-linux-unsubscribe@suse.com
Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine
Mail an: suse-linux-help@suse.com
-- 

Rene Hoffmann
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

http://www.r-hoffmann.de

-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: Weitere Infos: siehe http://www.gnupg.org

mQGiBD6BtsYRBACeSKoXgooC2eEaR/yozRT0mDr88yRmZUQpkIE8Hfrqub63FPFL
hEXcb/xXgGPClYH43GTEw6IJdV8VA7ONq/IsYG0McyA5AWllh2PsgsIf3gxzrZRq
/uYhE9+LshEV72iV+QHe57+EyQIuAFBikb70yV/MJIzyQ0rK1ebV8flHcwCg/0zL
La9lbhU99hdPLgXB8CJjaCED/16Qfte3tWxaao24L37sROiDLvpxbXKUslVRVwy5
k0j1SrIY+7PoPemik3TyZdH+kOdhgx4mncIs/W200YghlWtTgXF/L7iM+m4uUJwM
mEhsU1gCKiMdPxFLiECOpC5NxRyHXSS1My7+G6Yoqt6NsXGez/6mf5QyUJc2AXjW
mmgsA/0dNvay1ok9OY3xBA/29qZs/VzB5jY35+kG1VWLOjdq53HGlRgCwDOpHrRR
TzV+uiWqQkOefcu30FA0LFPqc6kp9+kJzp4CW8/IPsknJ/lRMojJL5YmoTVu/Fpf
tHRizv3ruYU3NtcoSoPBT/1YPPJW3LksRbyttKs52D8WE5fpLbQiUmVuZSBIb2Zm
bWFubiA8cmVuZUByLWhvZmZtYW5uLmRlPohXBBMRAgAXBQI+gbbGBQsHCgMEAxUD
AgMWAgECF4AACgkQ81OQR9uYH8aYNwCfYNkZha4BPLgFqYXKz7sSm96eIiIAniER
nliHyMK5Ptni2RqeiX5ICbo7uQENBD6BtssQBADwWjqLJclEiA0WzDfcxshoKfi9
mSEGnSnYs3Qot3DSI2h86BFD9twqCAdv5h4GppVZsEblRAi8ZCwcpN2fvGxmZn05
Cr+H/CGCXEI5KUdM5SbFzHIa4SFpv+SC3aTc2EIRM7c7OiuSNJ6jUCzcLZ+VxfpI
zoLaR5BDbLcm9O71bwADBwQA6sdYaLhFcGD0x+EPNuwmfxrluJdt4NLHk9bueA1i
YZ05QPJKWsb2FUNKTBUU2ViznKVKypv9RiK3WgiLMrLH/D5tzgQdml5/3XbUnQB+
Q5Q7Z3RG9gy/gLqpXvCM4FvQLZoQ1ayQt0fM9CKGLRCed5cmdBeXZQQp12MePpXo
YkCIRgQYEQIABgUCPoG2ywAKCRDzU5BH25gfxptSAKCelIYkRlDkuHMGIgq2NUOw
/LiZegCggAbT/t92Q5gphQKgK689KW6l1qQ