chkrootkit auf suse9.1
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Hallo, ich habe gerade chkrootkit auf einer recht frischen 9.1 Kiste laufen lassen. Es sagt u.a. # ./chkproc -v -v PID 2438: not in readdir output PID 2438: not in ps output CWD 2438: / EXE 2438: /usr/sbin/nscd PID 2439: not in readdir output PID 2439: not in ps output CWD 2439: / EXE 2439: /usr/sbin/nscd PID 2440: not in readdir output PID 2440: not in ps output CWD 2440: / EXE 2440: /usr/sbin/nscd PID 2441: not in readdir output PID 2441: not in ps output CWD 2441: / EXE 2441: /usr/sbin/nscd PID 2442: not in readdir output PID 2442: not in ps output CWD 2442: / EXE 2442: /usr/sbin/nscd You have 5 process hidden for readdir command You have 5 process hidden for ps command Nun ist Process 2437 ein nicht versteckter /usr/sbin/nscd. Früher unter 2.4 gab es diesen Prozess im ps Output immer in mehreren Exemplaren. Seit Suse 9.1 nur einmal. Daher nehme ich an, dass es sich hierbei um falschen Alarm handelt, da die angemeckerten Prozesse wohl nur weitere Threads des Prozesses 2437 sind. Liege ich da richtig? Etwas bedenklicher macht mich, dass chkrootkit top und find als INFECTED deklariert. In top findet er den String "/prof": # strings -a /usr/bin/top | egrep "/dev/xmx|/dev/ttyop|/dev/pty[pqrsx]|/dev/hdp|/dev/dsx|/prof|/dev/tux|proc\.h" /prof und in find "security": # strings -a /usr/bin/find | egrep "/dev/ttyof|/dev/pty[pqrs]|/prof|/home/virus|security|file\.h" security.selinux Ist das normal? Danke, Torsten -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.4 (GNU/Linux) iD8DBQFBBhN2wicyCTir8T4RApbxAKCh4Sn9LC8h76UgCeLohj+8SK04/gCdF0b3 2xFnXXlXGe/+v3q2Ge6hXmU= =nWEx -----END PGP SIGNATURE-----
mein root server proivder hat mir unter anderem wegen dem rootkit problem von 9.1 abgeraten bis suse dieses und andere probleme gefixt hat. -----Original Message----- From: Torsten Foertsch [mailto:torsten.foertsch@gmx.net] Sent: Tuesday, July 27, 2004 10:34 AM To: suse-linux@suse.com Subject: chkrootkit auf suse9.1 -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Hallo, ich habe gerade chkrootkit auf einer recht frischen 9.1 Kiste laufen lassen. Es sagt u.a. # ./chkproc -v -v PID 2438: not in readdir output PID 2438: not in ps output CWD 2438: / EXE 2438: /usr/sbin/nscd PID 2439: not in readdir output PID 2439: not in ps output CWD 2439: / EXE 2439: /usr/sbin/nscd PID 2440: not in readdir output PID 2440: not in ps output CWD 2440: / EXE 2440: /usr/sbin/nscd PID 2441: not in readdir output PID 2441: not in ps output CWD 2441: / EXE 2441: /usr/sbin/nscd PID 2442: not in readdir output PID 2442: not in ps output CWD 2442: / EXE 2442: /usr/sbin/nscd You have 5 process hidden for readdir command You have 5 process hidden for ps command Nun ist Process 2437 ein nicht versteckter /usr/sbin/nscd. Früher unter 2.4 gab es diesen Prozess im ps Output immer in mehreren Exemplaren. Seit Suse 9.1 nur einmal. Daher nehme ich an, dass es sich hierbei um falschen Alarm handelt, da die angemeckerten Prozesse wohl nur weitere Threads des Prozesses 2437 sind. Liege ich da richtig? Etwas bedenklicher macht mich, dass chkrootkit top und find als INFECTED deklariert. In top findet er den String "/prof": # strings -a /usr/bin/top | egrep "/dev/xmx|/dev/ttyop|/dev/pty[pqrsx]|/dev/hdp|/dev/dsx|/prof|/dev/tux|proc\. h" /prof und in find "security": # strings -a /usr/bin/find | egrep "/dev/ttyof|/dev/pty[pqrs]|/prof|/home/virus|security|file\.h" security.selinux Ist das normal? Danke, Torsten -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.4 (GNU/Linux) iD8DBQFBBhN2wicyCTir8T4RApbxAKCh4Sn9LC8h76UgCeLohj+8SK04/gCdF0b3 2xFnXXlXGe/+v3q2Ge6hXmU= =nWEx -----END PGP SIGNATURE----- -- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-linux-unsubscribe@suse.com Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-linux-help@suse.com
hallo thorsten, das problem liegt wohl weniger an suse als vielmehr an chkrootkit-0.43. ich habe heute auch ueber eine stunde an dem problem gesessen. es werden z.b. auch top und find als INFECTED angezeigt. ist auch falsch. eine suche bei google ergab dann, dass das problem schon direkt bei einer neuinstallation auftritt. gruss rene
mein root server proivder hat mir unter anderem wegen dem rootkit problem von 9.1 abgeraten bis suse dieses und andere probleme gefixt hat.
-----Original Message----- From: Torsten Foertsch [mailto:torsten.foertsch@gmx.net] Sent: Tuesday, July 27, 2004 10:34 AM To: suse-linux@suse.com Subject: chkrootkit auf suse9.1
Hallo,
ich habe gerade chkrootkit auf einer recht frischen 9.1 Kiste laufen lassen.
Es sagt u.a.
# ./chkproc -v -v PID 2438: not in readdir output PID 2438: not in ps output CWD 2438: / EXE 2438: /usr/sbin/nscd PID 2439: not in readdir output PID 2439: not in ps output CWD 2439: / EXE 2439: /usr/sbin/nscd PID 2440: not in readdir output PID 2440: not in ps output CWD 2440: / EXE 2440: /usr/sbin/nscd PID 2441: not in readdir output PID 2441: not in ps output CWD 2441: / EXE 2441: /usr/sbin/nscd PID 2442: not in readdir output PID 2442: not in ps output CWD 2442: / EXE 2442: /usr/sbin/nscd You have 5 process hidden for readdir command You have 5 process hidden for ps command
Nun ist Process 2437 ein nicht versteckter /usr/sbin/nscd. Früher unter 2.4 gab es diesen Prozess im ps Output immer in mehreren Exemplaren. Seit Suse 9.1 nur einmal. Daher nehme ich an, dass es sich hierbei um falschen Alarm handelt, da die angemeckerten Prozesse wohl nur weitere Threads des Prozesses 2437 sind.
Liege ich da richtig?
Etwas bedenklicher macht mich, dass chkrootkit top und find als INFECTED deklariert. In top findet er den String "/prof":
# strings -a /usr/bin/top | egrep "/dev/xmx|/dev/ttyop|/dev/pty[pqrsx]|/dev/hdp|/dev/dsx|/prof|/dev/tux|proc\ . h" /prof
und in find "security":
# strings -a /usr/bin/find | egrep "/dev/ttyof|/dev/pty[pqrs]|/prof|/home/virus|security|file\.h" security.selinux
Ist das normal?
Danke, Torsten
-- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-linux-unsubscribe@suse.com Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-linux-help@suse.com
-- Rene Hoffmann ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ http://www.r-hoffmann.de -----BEGIN PGP PUBLIC KEY BLOCK----- Version: GnuPG v1.0.6 (GNU/Linux) Comment: Weitere Infos: siehe http://www.gnupg.org mQGiBD6BtsYRBACeSKoXgooC2eEaR/yozRT0mDr88yRmZUQpkIE8Hfrqub63FPFL hEXcb/xXgGPClYH43GTEw6IJdV8VA7ONq/IsYG0McyA5AWllh2PsgsIf3gxzrZRq /uYhE9+LshEV72iV+QHe57+EyQIuAFBikb70yV/MJIzyQ0rK1ebV8flHcwCg/0zL La9lbhU99hdPLgXB8CJjaCED/16Qfte3tWxaao24L37sROiDLvpxbXKUslVRVwy5 k0j1SrIY+7PoPemik3TyZdH+kOdhgx4mncIs/W200YghlWtTgXF/L7iM+m4uUJwM mEhsU1gCKiMdPxFLiECOpC5NxRyHXSS1My7+G6Yoqt6NsXGez/6mf5QyUJc2AXjW mmgsA/0dNvay1ok9OY3xBA/29qZs/VzB5jY35+kG1VWLOjdq53HGlRgCwDOpHrRR TzV+uiWqQkOefcu30FA0LFPqc6kp9+kJzp4CW8/IPsknJ/lRMojJL5YmoTVu/Fpf tHRizv3ruYU3NtcoSoPBT/1YPPJW3LksRbyttKs52D8WE5fpLbQiUmVuZSBIb2Zm bWFubiA8cmVuZUByLWhvZmZtYW5uLmRlPohXBBMRAgAXBQI+gbbGBQsHCgMEAxUD AgMWAgECF4AACgkQ81OQR9uYH8aYNwCfYNkZha4BPLgFqYXKz7sSm96eIiIAniER nliHyMK5Ptni2RqeiX5ICbo7uQENBD6BtssQBADwWjqLJclEiA0WzDfcxshoKfi9 mSEGnSnYs3Qot3DSI2h86BFD9twqCAdv5h4GppVZsEblRAi8ZCwcpN2fvGxmZn05 Cr+H/CGCXEI5KUdM5SbFzHIa4SFpv+SC3aTc2EIRM7c7OiuSNJ6jUCzcLZ+VxfpI zoLaR5BDbLcm9O71bwADBwQA6sdYaLhFcGD0x+EPNuwmfxrluJdt4NLHk9bueA1i YZ05QPJKWsb2FUNKTBUU2ViznKVKypv9RiK3WgiLMrLH/D5tzgQdml5/3XbUnQB+ Q5Q7Z3RG9gy/gLqpXvCM4FvQLZoQ1ayQt0fM9CKGLRCed5cmdBeXZQQp12MePpXo YkCIRgQYEQIABgUCPoG2ywAKCRDzU5BH25gfxptSAKCelIYkRlDkuHMGIgq2NUOw /LiZegCggAbT/t92Q5gphQKgK689KW6l1qQ
Hmmm... also scheint es ja bei find und top falscher alarm zu sein. Aber was soll mir jetzt dieses sagen? [snip] You have 11 process hidden for ps command Warning: Possible LKM Trojan installed Checking `scalper'... Warning: Possible Scalper Worm installed [snip] Bitte sagt mir, dass das jetzt auch nur ein blinder Alarm ist... Ich glaub ich muss mich erst mal schlau machen über LKM und scalper. Vor zwei Wochen sind mir mehrere mühsam erstellte DVD-isos flöten gegangen, die waren einfach weg. Das habe ich auf eihgene Dummheit zurückgeführt, aber nachvollziehen konnte ich das trotzdem nicht... Gruss Mario
Am Mittwoch, 28. Juli 2004 23:56 schrieb Mario van der Linde:
[snip] You have 11 process hidden for ps command Warning: Possible LKM Trojan installed Checking `scalper'... Warning: Possible Scalper Worm installed [snip]
Also, scalper ist auch ein blinder Alarm, zurückzuführen auf meinen VDR (der auf Port 2001 lauscht), und Anzeichen einer LKM-infektion kann ich auch nicht bestätigen. Hab mal die Gegenprobe mit rkhunter gemacht. Von LKM keine Spur und die Port 2001 Warnung liegt ja am VDR... Gruss Mario
Am Dienstag, 27. Juli 2004 09:33 schrieb Torsten Foertsch:
ich habe gerade chkrootkit auf einer recht frischen 9.1 Kiste laufen lassen. Es sagt u.a.
sorry fuer die spaete Antwort. Ich bin leider umgezogen.... Das Thema war auch schon in der SuSE Security Liste vor einiger Zeit ein Thema. Leider gab es damals dazu nie eine Stellungnahme von SuSE, was ich ziemlich schwach fand und finde. Das ganze ist jedoch aber ein Fehlalarm.. cu stonki -- www.stonki.de: the more I see, the more I know....... www.proftpd.de: Deutsche ProFTPD Dokumentation www.krename.net: Der Batch Renamer für KDE www.kbarcode.net: Die Barcode Solution für KDE
participants (5)
-
Mario van der Linde -
Rene Hoffmann -
Sapheriel -
Stefan Onken -
Torsten Foertsch