Rootkit??

AK-Palme · Beitrag von **AK-Palme** » 08.09.2005 07:37:34

Hi,
ich habe heute eine Mail bekommen vom cronjob, in der folgendes steht:

/etc/cron.daily/chkrootkit:
INFECTED (PORTS:  1008)
eth0: PACKET SNIFFER(/usr/sbin/dhcpd3[1375])

da war ich wewundert und hab folgendes eingegeben:

Code: Alles auswählen

James:~# netstat -tulpen|grep :1008
tcp        0      0 0.0.0.0:1008            0.0.0.0:*               LISTEN     0          2090       1677/rpc.mountd

geht das so in ordnung, oder ist das doch kein fehlalarm??

Savar · Beitrag von **Savar** » 08.09.2005 08:30:23

benutzt du NFS? dann könnte es in Ordnung sein.. wenn nicht.. dann hol dir mal rkhunter und prüfe mit dem nochmal..

AK-Palme · Beitrag von **AK-Palme** » 08.09.2005 14:01:42

gut, ich benutz nfs

Joghurt · Beitrag von **Joghurt** » 08.09.2005 15:27:11

Naja, das INFECTED Port 1008 sieht nicht so vertrauenserweckend aus. Dieser wird u.A. von einer "lion worm backdoor" benutzt.

Savar · Beitrag von **Savar** » 08.09.2005 15:33:45

ich würd auf jeden Fall mal rkhunter drüberjagen und einfach mal den Prozess killen der den Port belegt und schauen ob nfs weiterhin funktioniert.. wenn ja, dann mache dir Gedanken!

herrchen · Beitrag von **herrchen** » 08.09.2005 15:57:53

hast du mal netcat auf den port losgelassen?

Code: Alles auswählen

nc -vv xxx.xxx.xxx.xxx 1008

herrchen