Koozali.org: home of the SME Server

Other Languages => Deutsch => Topic started by: faber38 on March 11, 2010, 09:23:58 AM

Title: chkrootkit meldet infected
Post by: faber38 on March 11, 2010, 09:23:58 AM

Code: [Select]

Checking `bindshell'... INFECTED (PORTS:  465 4000)
Checking `lkm'... find: /proc/25686/task: Datei oder Verzeichnis nicht gefunden
find: /proc/25686/fd: Datei oder Verzeichnis nicht gefunden
You have    13 process hidden for readdir command
You have    13 process hidden for ps command
chkproc: Warning: Possible LKM Trojan installed

ups...
ich habe diese Meldung auf mind. 3 Server mit SME 7.4

Fake ? oder sind die Systeme wirklich infiziert ?

chkrootkit version 0.49

rkhunter findet nichts...

Kann das eine Fehlinfo sein ?.. alle 3 Server den gleichen rootkit ? oder hat das etwas mit meiner Fernwartung zutun ?
ich habe ja meinen Rechner als berechtigten Fernrechner eingegeben..

Code: [Select]

./chkproc -v
PID   547(/proc/547): not in readdir output
PID   547: not in ps output
PID  5954(/proc/5954): not in readdir output
PID  5954: not in ps output
PID  5970(/proc/5970): not in readdir output
PID  5970: not in ps output
PID  5971(/proc/5971): not in readdir output
PID  5971: not in ps output
PID  5972(/proc/5972): not in readdir output
PID  5972: not in ps output
PID  5973(/proc/5973): not in readdir output
PID  5973: not in ps output
PID  5974(/proc/5974): not in readdir output
PID  5974: not in ps output
PID  6321(/proc/6321): not in readdir output
PID  6321: not in ps output
PID  6322(/proc/6322): not in readdir output
PID  6322: not in ps output
PID  6451(/proc/6451): not in readdir output
PID  6451: not in ps output
PID 25694(/proc/25694): not in readdir output
PID 25694: not in ps output
PID 25702(/proc/25702): not in readdir output
PID 25702: not in ps output
PID 25703(/proc/25703): not in readdir output
PID 25703: not in ps output
You have    13 process hidden for readdir command
You have    13 process hidden for ps command


Title: Re: chkrootkit meldet infected
Post by: CharlieBrady on April 01, 2010, 04:51:01 AM

Quote from: faber38 on March 11, 2010, 09:23:58 AM

Fake ?

It is very likely that this is a false positive.

http://lists.svlug.org/pipermail/svlug/2006-February/025722.html

http://www.google.com/search?q=chkrootkit+false+positive+LKM
 
http://www.google.com/search?q=chkrootkit+false+positive+bindshell