Hallo Liste,
heute habe ich folgende Meldung von meinem System bekommen:
/etc/cron.daily/chkrootkit:
Warning: Possible Showtee Rootkit installed
INFECTED (PORTS: 465 4000)
eth0: PACKET SNIFFER(/usr/sbin/dhcpd3[21365])
Die Zeile mit Showtee ist neu. Der Rest ist OK.
Ich habe also mal geschaut
Hallo Andre.
heute habe ich folgende Meldung von meinem System bekommen:
/etc/cron.daily/chkrootkit:
Warning: Possible Showtee Rootkit installed
INFECTED (PORTS: 465 4000)
eth0: PACKET SNIFFER(/usr/sbin/dhcpd3[21365])
Da bist du nicht der einzige[0].
Es ist ja jetzt nicht so, dass ich
Hallo Mathias,
Am Donnerstag, den 14.09.2006, 12:23 +0200 schrieb Mathias Brodala:
Zu letzterem kann ich nichts sagen, aber für ersteres genügt bereits dpkg -S:
$ dpkg -S /usr/lib/libfl.so
flex: /usr/lib/libfl.so
Danke, auf dpkg -S bin ich nicht gekommen, ich sollte meinen
Gruesse!
* Holm Kapschitzki [EMAIL PROTECTED] schrieb am [10.03.06 08:49]:
Hallo,
ich habe chkrootkit installiert und bekomme immer wieder per Mail folgende
Ausgabe zugesandt:
chkrootkit - unable to open lastlog-file lastlog.
Bloss wo ist der log, wie lege ich ihn an ?
Welches Debian
Hallo,
ich habe chkrootkit installiert und bekomme immer wieder per Mail
folgende Ausgabe zugesandt: chkrootkit - unable to open lastlog-file
lastlog.
Bloss wo ist der log, wie lege ich ihn an ?
Gruß Holm
--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian
Hallo!
Mir hat's einen Schreck eingejagt, als chkrootkit einen angeblichen
Trojaner identifizierte:
Checking `bindshell'... INFECTED (PORTS: 1008)
Und auf Port 1008 läuft der rpc.statd
udp 00 *:1008*:* 508/rpc.statd
Jetzt hab ich dazu noch einen alten Bugreport gefunden
On Wed, 22 Jun 2005 20:24:27 +0200
Gerald Holl [EMAIL PROTECTED] wrote:
Hallo!
Abend!
Mir hat's einen Schreck eingejagt, als chkrootkit einen angeblichen
Trojaner identifizierte:
Checking `bindshell'... INFECTED (PORTS: 1008)
Und auf Port 1008 läuft der rpc.statd
udp 00
Evgeni Golov wrote:
Hallo Evgeni!
Mir hat's einen Schreck eingejagt, als chkrootkit einen angeblichen
Trojaner identifizierte:
Checking `bindshell'... INFECTED (PORTS: 1008)
Und auf Port 1008 läuft der rpc.statd
udp 00 *:1008*:* 508/rpc.statd
der rpc.statd bindet
Also sprach Gerald Holl [EMAIL PROTECTED] (Wed, 22 Jun 2005 20:55:35
+0200):
Evgeni Golov wrote:
Entweder ist der Bug noch immer vorhanden oder ich hab wirklich
einen Trojaner. Die MAC der externen NIC meines Servers (3Com 905C)
hat sich in ein paar Minuten gleich vier mal verändert, das macht
Richard Mittendorfer wrote:
Also sprach Gerald Holl [EMAIL PROTECTED] (Wed, 22 Jun 2005 20:55:35
+0200):
Evgeni Golov wrote:
Entweder ist der Bug noch immer vorhanden oder ich hab wirklich
einen Trojaner. Die MAC der externen NIC meines Servers (3Com 905C)
hat sich in ein paar Minuten gleich
On Thu, Jun 23, 2005 at 12:11:12AM +0200, Gerald Holl wrote:
Richard Mittendorfer wrote:
md5sums, debsums, backup, integrit, bsign, groesse, erstellungsdatum,
funktion, tripwire,...
Danke. Schaut so aus als ob das File noch im Originalzustand ist :)
Dir ist bewusst das man seine Trojaner
Hallo,
ich weiss zwar, dass chkrootkit gelegentlich false positives liefert,
bin jetzt aber doch etwas verwirrt. Gelegentlich findet sich unter
meinen Systemmails etwas wie diese:
On 2005.01.28 08:02, Tiger automatic auditor at localhost wrote:
# Testing for promiscuous interfaces with /sbin
On Sun, Jan 09, 2005 at 08:07:23PM +0100, Nico Jochens wrote:
On Sun, Jan 09, 2005 at 07:26:42PM +0100, Sven Hoexter wrote:
Ansonsten entpacke aus einem deb paket aus sicherer quelle das binary und
vergleiche die md5 summen von Hand.
Naja aber ich dachte genau das geht eben nicht, da mein
ja hallo erstmal,...
Am Sonntag, 9. Januar 2005 06:57 schrieb Nico Jochens:
Moin Moin,
da ich erst seit gestern mein chkrootkit laufen habe jetzt gleich mal
die Frage, habe ich bei dieser Mail von chkrootkit ein Problem?
/etc/cron.daily/chkrootkit:
/usr/lib/GNUstep/System/.GNUsteprc
On Sun, Jan 09, 2005 at 10:14:28AM +0100, Jan Lühr wrote:
ja hallo erstmal,...
Am Sonntag, 9. Januar 2005 06:57 schrieb Nico Jochens:
Moin Moin,
da ich erst seit gestern mein chkrootkit laufen habe jetzt gleich mal
die Frage, habe ich bei dieser Mail von chkrootkit ein Problem
ja hallo erstmal,...
Am Sonntag, 9. Januar 2005 10:23 schrieb Sven Hoexter:
On Sun, Jan 09, 2005 at 10:14:28AM +0100, Jan Lühr wrote:
ja hallo erstmal,...
Am Sonntag, 9. Januar 2005 06:57 schrieb Nico Jochens:
Moin Moin,
da ich erst seit gestern mein chkrootkit laufen habe jetzt
On Sun, Jan 09, 2005 at 10:14:28AM +0100, Jan Lühr wrote:
ja hallo erstmal,...
Am Sonntag, 9. Januar 2005 06:57 schrieb Nico Jochens:
Moin Moin,
da ich erst seit gestern mein chkrootkit laufen habe jetzt gleich mal
die Frage, habe ich bei dieser Mail von chkrootkit ein Problem
,
da ich erst seit gestern mein chkrootkit laufen habe jetzt gleich mal
die Frage, habe ich bei dieser Mail von chkrootkit ein Problem?
/etc/cron.daily/chkrootkit:
/usr/lib/GNUstep/System/.GNUsteprc
eth2: PACKET SNIFFER(/sbin/dhclient[2980], /sbin/dhclient[2945
:
da ich erst seit gestern mein chkrootkit laufen habe jetzt gleich mal
die Frage, habe ich bei dieser Mail von chkrootkit ein Problem?
/etc/cron.daily/chkrootkit:
/usr/lib/GNUstep/System/.GNUsteprc
eth2: PACKET SNIFFER(/sbin/dhclient[2980], /sbin/dhclient[2945
ja hallo erstmal,...
Am Sonntag, 9. Januar 2005 15:08 schrieb Nico Jochens:
On Sun, Jan 09, 2005 at 10:14:28AM +0100, Jan Lühr wrote:
ja hallo erstmal,...
Am Sonntag, 9. Januar 2005 06:57 schrieb Nico Jochens:
Moin Moin,
da ich erst seit gestern mein chkrootkit laufen habe jetzt
Jochens:
Moin Moin,
da ich erst seit gestern mein chkrootkit laufen habe jetzt
gleich mal die Frage, habe ich bei dieser Mail von chkrootkit
ein Problem?
/etc/cron.daily/chkrootkit:
/usr/lib/GNUstep/System/.GNUsteprc
eth2: PACKET SNIFFER(/sbin/dhclient[2980
,
da ich erst seit gestern mein chkrootkit laufen habe jetzt gleich mal
die Frage, habe ich bei dieser Mail von chkrootkit ein Problem?
/etc/cron.daily/chkrootkit:
/usr/lib/GNUstep/System/.GNUsteprc
eth2: PACKET SNIFFER(/sbin/dhclient[2980], /sbin/dhclient[2945
hallo erstmal,...
Am Sonntag, 9. Januar 2005 06:57 schrieb Nico Jochens:
Moin Moin,
da ich erst seit gestern mein chkrootkit laufen habe jetzt
gleich mal die Frage, habe ich bei dieser Mail von chkrootkit
ein Problem?
/etc/cron.daily/chkrootkit:
/usr
:
On Sun, Jan 09, 2005 at 10:14:28AM +0100, Jan Lühr wrote:
ja hallo erstmal,...
Am Sonntag, 9. Januar 2005 06:57 schrieb Nico Jochens:
Moin Moin,
da ich erst seit gestern mein chkrootkit laufen habe jetzt
gleich mal die Frage, habe ich bei dieser Mail von
On Sun, Jan 09, 2005 at 06:35:58PM +0100, Sven Hoexter wrote:
On Sun, Jan 09, 2005 at 06:11:06PM +0100, Nico Jochens wrote:
Ja schön, weitere Programme kamen ja auch schon von Sven. Nun ist mein
System schon mehrmal upgedatet. Ändern sich da nicht auch die
MD5-Summen?
Natuerlich aendern
On Sun, Jan 09, 2005 at 06:54:43PM +0100, Nico Jochens wrote:
On Sun, Jan 09, 2005 at 06:35:58PM +0100, Sven Hoexter wrote:
On Sun, Jan 09, 2005 at 06:11:06PM +0100, Nico Jochens wrote:
Ja schön, weitere Programme kamen ja auch schon von Sven. Nun ist mein
System schon mehrmal
Am Sonntag 09 Januar 2005 18:54 schrieb Nico Jochens:
Ich möchte aber nicht de- und wieder installieren sondern ein
zwingendes drüberinstallieren. Geht das via apt?
apt-get install --reinstall
ciao
Gerhard
On Sun, Jan 09, 2005 at 07:26:42PM +0100, Sven Hoexter wrote:
On Sun, Jan 09, 2005 at 06:54:43PM +0100, Nico Jochens wrote:
On Sun, Jan 09, 2005 at 06:35:58PM +0100, Sven Hoexter wrote:
On Sun, Jan 09, 2005 at 06:11:06PM +0100, Nico Jochens wrote:
Ja schön, weitere Programme kamen ja
Checking `bindshell'... INFECTED (PORTS: 4000)
hat nichts zu bedeuten wenn irgendein Programm auf Port 4000 lauscht.
Die Überprüfung könnt schon ein bisschen ausgeklügelter sein, einfach
schauen ob auf irgendeinen Port gelauscht wird, ist nicht gerade
Weisheit letzter Schluss, der Hacker könnte
wird, ist nicht gerade
Weisheit letzter Schluss, der Hacker könnte ja irgendeines nehmen. Oder
funktioniert es eh anders?
Nichts genaues weiß ich nicht aber ich würde sagen das chkrootkit zum
überprüfen eventuell kompromittierter Dateien ist, also nicht unbedingt
für Portchecks.
Die sind halt auf
Moin Moin,
da ich erst seit gestern mein chkrootkit laufen habe jetzt gleich mal
die Frage, habe ich bei dieser Mail von chkrootkit ein Problem?
/etc/cron.daily/chkrootkit:
/usr/lib/GNUstep/System/.GNUsteprc
eth2: PACKET SNIFFER(/sbin/dhclient[2980], /sbin/dhclient[2945])
schöne Grüße aus
Am 2004-07-31 02:32:24, schrieb Johannes Roettger:
* Michelle Konzack [EMAIL PROTECTED] [2004-07-30 23:02]:
Schon mal geGOGLEd ?
Da findest Du jede menge zum Thema.
Ich muss sagen, ich finde dein Verhalten wenig konstruktiv... AFAIR hat
er um Rat gebeten, und nicht um UTFSE. Ich zumindest
* Michelle Konzack [EMAIL PROTECTED] [2004-07-31 09:57]:
Message eintippen, auf Suchen klicken und dann bekommste
dutzende von Seiten mit den passenden erklärungen...
Wesenlich schnelle als hier auf der Liste
Abgesehen davon habe ich 37 threads innerhalb der lezten
7 Monate auf
Johannes Roettger [EMAIL PROTECTED] writes:
Natürlich ist es ratsam und wünschenswert zuerst Google zu
konsultieren, aber ich würde jetzt unterstellen, dass der Betreffende
dies schon getan hat (aufgrund seines professionellen Verhaltens).
Erstmal danke für die Unterstützung. :)
Natürlich
Moin Leute
Habe heute mit chkrootkit folgendes gefunden:
Searching for anomalies in shell history files... Warning: `//root/.mysql_history'
file size is zero
nothing found
Da ich mit mysql erst angefangen habe und schon ein wenig rumgespielt habe müßte
dort ja schon irgendwas drin
Hallo!
Bei meinem letzten regelmässigen Test mit chkrootkit fiel diesem ein
versteckter Prozess auf. Beim anschliessenden zweiten Durchlauf
allerdings gab es keinerlei Fehlermeldungen.
Ich habe das System sofort heruntergefahren und mit dem chkrootkit einer
Knoppix-CD getestet - keine
On Fri, Jul 30, 2004 at 07:41:08PM +0200, Stephan Windmüller wrote:
Bei meinem letzten regelmässigen Test mit chkrootkit fiel diesem ein
versteckter Prozess auf. Beim anschliessenden zweiten Durchlauf
allerdings gab es keinerlei Fehlermeldungen.
Jo, frag mal Google zu dem Thema, chkrootkit
Am Freitag 30 Juli 2004 19:41 schrieb Stephan Windmüller:
Hallo!
Bei meinem letzten regelmässigen Test mit chkrootkit fiel diesem ein
versteckter Prozess auf. Beim anschliessenden zweiten Durchlauf
allerdings gab es keinerlei Fehlermeldungen.
Ich habe das System sofort heruntergefahren und
Am 2004-07-30 19:41:08, schrieb Stephan Windm?ller:
Hallo!
Bei meinem letzten regelmässigen Test mit chkrootkit fiel diesem ein
versteckter Prozess auf. Beim anschliessenden zweiten Durchlauf
allerdings gab es keinerlei Fehlermeldungen.
Ich habe das System sofort heruntergefahren und mit
gerhard [EMAIL PROTECTED] writes:
Der Kernel ist selbstgebaut und enthält den Openwall-Patch.
Welchen kernel verwendest Du ? Bei bestimmten kernel (= 2.6 oder
andere kernel mit NPTL) ist das ein bekannter false-positiv.
Es handelt sich um einen 2.4.26, allerdings weiss ich nicht, was NPTL
für
Torsten Schneider [EMAIL PROTECTED] writes:
Bei meinem letzten regelmässigen Test mit chkrootkit fiel diesem ein
versteckter Prozess auf. Beim anschliessenden zweiten Durchlauf
allerdings gab es keinerlei Fehlermeldungen.
Jo, frag mal Google zu dem Thema, chkrootkit verhaut sich an an der
* Michelle Konzack [EMAIL PROTECTED] [2004-07-30 23:02]:
Schon mal geGOGLEd ?
Da findest Du jede menge zum Thema.
Ich muss sagen, ich finde dein Verhalten wenig konstruktiv... AFAIR hat
er um Rat gebeten, und nicht um UTFSE. Ich zumindest empfinde seine
Anfrage als absolut legitim.
IMHO,
Am Samstag 22 Mai 2004 22:52 schrieb Manfred Sindhoff:
Gerhard Gaussling wrote:
Hallo Liste,
ich habe hier folgendes:
chkrootkit:
Checking `lkm'... You have 9 process hidden for readdir command
You have 9 process hidden for ps command
Warning: Possible LKM Trojan
Gerhard Gaussling wrote:
Hallo Liste,
ich habe hier folgendes:
chkrootkit:
Checking `lkm'... You have 9 process hidden for readdir command
You have 9 process hidden for ps command
Warning: Possible LKM Trojan installed
[...]
Muß ich mir Sorgen machen?
ciao
Gerhard
Hallo Gerhard,
bei mir
Hallo Liste,
ich habe hier folgendes:
chkrootkit:
Checking `lkm'... You have 9 process hidden for readdir command
You have 9 process hidden for ps command
Warning: Possible LKM Trojan installed
# chkrootkit -x lkm
ROOTDIR is `/'
###
### Output of: ./chkproc -v -v
###
PID 1278
Moin!
Ich habe da ein kleines Problem mit meinem Heimserver:
Heute morgen lief der Apache nicht mehr, nachdem bis vor etwa einer Stunde
noch Anfragen abgeblockt wurden (Anfragen betreffs eines IIS-Exploits).
Spaenshalber habe ich chkrootkit drberlaufen lassen, das mir vorwirft,
bindshell sei
Michael Holtermann [EMAIL PROTECTED] wrote:
Ich habe da ein kleines Problem mit meinem Heimserver:
Heute morgen lief der Apache nicht mehr, nachdem bis vor etwa einer Stunde
noch Anfragen abgeblockt wurden (Anfragen betreffs eines IIS-Exploits).
Spaßenshalber habe ich chkrootkit drüberlaufen
Moin Andreas!
Andreas Metzler wrote:
Bug.
Hstel... Danke. Nchstes Mal such ich wieder selbst.
Gre, Micha.
--
Ideen sind wie Kinder: Die eigenen liebt man am meisten.
-- Lothar Schmidt
--
Haeufig gestellte Fragen und Antworten (FAQ):
On Sat, Jan 31, 2004 at 07:22:18PM +0100, ThomasS wrote:
Hallo,
eth0: PACKET SNIFFER(/usr/sbin/pppoe[534], /usr/sbin/pppoe[534])
Na, machst Du DSL?
Heiko
--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/
Zum AUSTRAGEN schicken Sie eine
Hallo Heiko,
Heiko Schlittermann schrieb:
On Sat, Jan 31, 2004 at 07:22:18PM +0100, ThomasS wrote:
Hallo,
eth0: PACKET SNIFFER(/usr/sbin/pppoe[534], /usr/sbin/pppoe[534])
Na, machst Du DSL?
Gut erkannt, ich habe hier einen DSL-Anschluß bei TLink laufen!
Gruß
Thomas
--
Haeufig
Hallo,
nach Durchlesen der Debian-README für chrootkit (in Sarge) ist mir klar,
dass die Fehlermeldung: possible LKM Trojan installed ein Chkrootkit
Problem ist.
Heute überrascht mich:
$: chkrootkit -q
jedoch mit dieser erweiterten Meldung:
You have 4 process hidden for ps command
Am 2004-01-31 19:22:18, schrieb ThomasS:
Hallo,
Hallo,
nach Durchlesen der Debian-README für chrootkit (in Sarge) ist mir klar,
dass die Fehlermeldung: possible LKM Trojan installed ein Chkrootkit
Problem ist.
Das ist ja schon eine ganze weile Bekannt...
Heute überrascht mich
Hi!
Auf Backports.org habe ich leider keinen Backpirt von Chkrootkit gefunden.
Ich hatte nämlich einen riesen Schreck heute morgen, als ich von Hetzner
eine Traffic warnung bekam, weil ich zw. 22-24h mehr als 1gig
eingehenden Traffic hatte.
Zum Glück hat sich herausgestellt, daß es OK, war aber
Patrick Cornelissen [EMAIL PROTECTED] wrote:
Auf Backports.org habe ich leider keinen Backpirt von Chkrootkit gefunden.
[...]
apt-get.org sollte Adrian Bunks backport finden.
cu andreas
--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user
Andreas Metzler wrote:
Auf Backports.org habe ich leider keinen Backpirt von Chkrootkit gefunden.
apt-get.org sollte Adrian Bunks backport finden.
Hmpf, irgendwas vergess ich immer...
OK und ich habe es sogar geschafft, daß nur chkrootkit upgedatet wird! :-)
(Endlich habe ich das mit dem pinning
Hallo Liste,
chkrootkit-0.39a brachte folgende Ausgabe:
--snip--
Checking `lkm'... nothing detected
Checking `rexedcs'... not found
Checking `sniffer'...
eth0 is not promisc
ppp0 is not promisc
Checking `wted'... 1 deletion(s) between Thu Mar 20 18:56:20 2003 and
Thu Mar 20 23:24:49 2003
56 matches
Mail list logo