Falscher Alarm mit chkrootkit????

Matthias Mente - Montag, 28. Februar 2005 19:51:26 - 1 Antworten

zu Hülf!!!

Betriebssystem Fedora Core 3 Gnome 2.8/KDE 3.3.0
Beim Test mit chkrootkit Version 0.45 ist angeblich ein Prozess versteckt sowie Warnung vor lkm Trojaner (siehe unten).

Test mit installiertem chkrootkit 0.45 unter
Befehl: chkrootkit -r /
.
Checking `asp'... not infected
Checking `bindshell'... not infected
Checking `lkm'... You have 1 process hidden for readdir command
You have 1 process hidden for ps command
chkproc: Warning: Possible LKM Trojan installed
Checking `rexedcs'... not found
Checking `sniffer'... Checking `w55808'... not infected

Test mit chkrootkit 0.45 direkt aus Verzeichnis gestartet unter
Befehl: ./chkrootkit -r /
.
Checking `asp'... not infected
Checking `bindshell'... not infected
Checking `lkm'... Checking `rexedcs'... not found
Checking `sniffer'... not tested: can't exec ./ifpromisc

Test mit Befehl: ./chkrootkit ps ls sniffer
root@localhost ~]# chkrootkit ps ls sniffer
ROOTDIR is `/'
Checking `ps'... not infected
Checking `ls'... not infected
Checking `sniffer'... [root@localhost ~]#

Auch Nachprüfung der Binärdateien auf Veränderung mit Befehl:
rpm -V procps

bringt keine Ergebnisse.

Und noch ein Test: Portscan auf der Seite
http://scan.sygatetech.com/
Ergebnis: Sowohl bei Quickscan, als auch bei Stealthscan sind alle
getesteten Ports perfekt ge"blocked" - also geschlossen UND versteckt.

Besteht Anlass zur Beunruhigung, oder kann ich jetzt ruhig schlafen???
Wäre für jede Hilfe dankbar!
Mats



Antworten
Re: Falscher Alarm mit chkrootkit????
Lars S., Dienstag, 01. März 2005 16:12:20
Ein/Ausklappen

Wenn du nptl aktiviert hast ist das normal und kein Grund zur Besorgnis.
Google mal nach 'nptl +chkrootkit' da gibt es viele Seiten und Threads zu.



Bewertung: 220 Punkte bei 39 Stimmen.
Den Beitrag bewerten: Gut / Schlecht

Ähnliche Artikel

  • Spurensucher
    Oft tauschen Angreifer die Originalprogramme gegen eigene aus, um ihr Treiben zu verschleiern. Hostbasierte Intrusion-Detection-Systeme entdecken solche Rootkits.
  • Vorbereitungen für den Fall des Falles: Was tun, wenn der Rechner mutmaßlich gehackt wurde?
    Nach einem Einbruch auf einem Linux-Rechner kann der Administrator diesen wie ein Gerichtsmediziner untersuchen und analysieren. Der Artikel zeigt die ersten Schritte und die erforderlichen Werkzeuge dafür.
  • Alarmstufe Root
    Trojaner, Viren und Würmer muss der Linux-Anwender kaum fürchten – die weitaus gefährlicheren Rootkits jedoch um so mehr. Schützen Sie Ihre Systeme effektiv gegen die lästigen Eindringlinge.
  • Live-Linux-Distributionen
    Eine Live-CD ist ein vollständiges Betriebssystem, mit dem man von CD-ROM bootet und arbeitet. Auf der Festplatte werden dabei keine Daten abgelegt. Mit so einer CD kann sich mit dem Betriebssystem vertraut machen, aber auch den Rechner auf Fehler testen oder Viren prüfen. Wir haben uns sieben Live-CDs angesehen.
  • Erbsenzählerei
    Ob Rsync, Integrit oder Aide – alle diese Werkzeuge beobachten den Verzeichnisbaum des Systems und schlagen Alarm, sobald sie dort unbefugte Veränderungen bemerken.

Aktuelle Fragen

Wifikarte verhindert Bootvorgang
Maik Kühn, 21.01.2018 22:23, 1 Antworten
iwlwifi-7265D -26 failed to load iwlwifi-7265D -25 failed to load iwlwifi-7265D -24 failed to l...
sharklinux
Gerd-Peter Behrendt, 18.01.2018 23:58, 2 Antworten
Hallo zusammen, ich habe sharklinux von der DVD Installiert. 2x, jedesmal nach dem Reboot ist di...
Anfänger sucht Ratschläge
Alucard Nosferatu, 18.01.2018 21:56, 3 Antworten
Guten Tag, meine Wenigkeit würde gerne auf einer meiner Festplatten von meinen Feldrechnern e...
Suchprogramm
Heiko Taeuber, 17.01.2018 21:12, 1 Antworten
Hallo liebe Community, keine Ahnung ob dieses Thema hier schon einmal gepostet wurde. Ich hab...
Linux Mint als Zweitsystem
Wolfgang Robert Luhn, 13.01.2018 19:28, 4 Antworten
Wer kann mir helfen??? Habe einen neuen Laptop mit vorinstaliertem Windows 10 gekauft. Möchte g...

Stellenmarkt

Jetzt auf den Mailinglisten

Re: [EasyLinux-Ubuntu] Debian_Testing:_Unklare_Meldung_zwischen_GRUB_und_Entschlüsselung_der_Festplatte
"Michael R. Moschner", 23.01.2018 18:30
Am Dienstag, 23. Januar 2018, 08:43:29 schrieb Uwe Herrmuth: Hallo Uwe Letzte Kernelupdate war wenige Minut...
Re: [EasyLinux-Ubuntu] Debian_Testing:_Unklare_Meldung_zwischen_GRUB_und_Entschlüsselung_der_Festplatte
Uwe Herrmuth, 23.01.2018 08:43
Hallo Michael, Michael schrieb am 22.01.2018 um 18:56: > Ich habe seit mehr als einem Jahr ein Think Pad...
[EasyLinux-Ubuntu] Debian_Testing:_Unklare_Meldung_zwischen_GRUB_und_Entschlüsselung_der_Festplatte
nobbynobbs@directbox., 22.01.2018 18:56
Hallo Liste Ich habe seit mehr als einem Jahr ein Think Pad Yoga 11. Installiert ist Debian Testing auf ein...
Re: [EasyLinux-Ubuntu] Stefan Neumayer schon lange nicht mehr aktiv?
Nguyen Dong Loan, 21.01.2018 10:10
Am Sonntag, den 07.01.2018, 15:18 +0100 schrieb Gerhard Blaschke: Hallo Gerhard > > weiß jemand, w...
Re: [EasyLinux-Ubuntu] Mail von Smart (2x)
Heiko Ißleib, 20.01.2018 03:56
Hallo Udo. Da habe ich eine viel schlechtere Platte,die jetzt fast 9 Jahre läuft. Gruß Heiko.