On Sun, Jan 09, 2005 at 03:43:49PM +0100, Nico Jochens wrote: > On Sun, Jan 09, 2005 at 12:07:47PM +0100, Jan Lühr wrote: > > Am Sonntag, 9. Januar 2005 10:23 schrieb Sven Hoexter: > > > On Sun, Jan 09, 2005 at 10:14:28AM +0100, Jan Lühr wrote: > > > > Am Sonntag, 9. Januar 2005 06:57 schrieb Nico Jochens: > > > > > da ich erst seit gestern mein chkrootkit laufen habe jetzt gleich mal > > > > > die Frage, habe ich bei dieser Mail von chkrootkit ein Problem? > > > > > > > > > > /etc/cron.daily/chkrootkit: > > > > > > > > > > /usr/lib/GNUstep/System/.GNUsteprc > > > > > > > > > > eth2: PACKET SNIFFER(/sbin/dhclient[2980], /sbin/dhclient[2945]) > > > > > > > > Was schreibt chkrootkit denn genau? Sicher nicht nur das.. > > > > > > Sieht aus wie eine der ueblichen false-positive Meldungen. Da wird > > > der dhcp client als sniffer auf dem Interface missverstanden. > > > Nichts besorgniss erregendes. > > Hab ich mir gedacht. Und was ist mit der .GNUsteprc? Ist eine Textdatei > mit dem Owner root und den rechten -rw-r--r--. > Der Inhalt der Datei lautet "GNUSTEP_USER_ROOT=~/GNUstep". Ich glaub ja > nicht das die was zu bedeuten hat nur warum mahnt chkrootkit die an? Mueste man sich chkrootkit mal genauer angucken wie es auf den Trichter gekommen ist die anzumoepern. Vielleicht benutzte ein rootkit mal diese oder eine aehnliche Datei als Tarnung. > > Naja, man sollte zumindest sicher gehen, dass das dhclient binary noch das > > alte ist ;) > > Würd ich auch sagen aber wie? Nur Versionsnummer reicht ja wohl nicht. dafuer gibt es tripwire oder aide. Die ueberpruefen die md5 check summe. Kannst auf einem sicheren system auch einfach das Debian Paket entpacken und dann die md5summe der binarys vergleichen. Wo anders compilete und statisch gelinkte md5sum version vorrausgesetzt (wenn du ganz ganz sicher gehen willst).
HTH Sven -- If God passed a mic to me to speak I'd say stay in bed, world Sleep in peace [The Cardigans - No sleep] -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)