On Wed, 22 Jun 2005 20:24:27 +0200
Gerald Holl <[EMAIL PROTECTED]> wrote:

> Hallo!

Abend!

> Mir hat's einen Schreck eingejagt, als chkrootkit einen angeblichen
> Trojaner identifizierte:
> Checking `bindshell'... INFECTED (PORTS:  1008)
> 
> Und auf Port 1008 läuft der rpc.statd
> udp       0    0 *:1008        *:*     508/rpc.statd

der rpc.statd bindet sich immer an einen zufälligen freien Port, ist
manchmal verwirrend.

> Jetzt hab ich dazu noch einen alten Bugreport gefunden:
> http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=160539
> 
> Entweder ist der Bug noch immer vorhanden oder ich hab wirklich einen
> Trojaner. Die MAC der externen NIC meines Servers (3Com 905C) hat sich
> in ein paar Minuten gleich vier mal verändert, das macht micht
> stutzig.

Allerdings ändert der statd nicht die MAC deiner NIC, was ich sehr
verwunderlich finde.

> Dann hab ich den rpc.statd gekillt und nun findet chkrootkit keinen
> bindshell Trojaner mehr.

War es wirklich der statd oder irgend ein Binary mit dem Namen
rpc.statd (man nennt n Trojaner halt nicht dangerous_trojan oder so ;-)
Mich würde die chkrootkit Ausgabe weniger verwundern, als das Verhalten
deiner NIC. Ist das seit dem Killen von statd nochmal passiert?

> Gerald

Evgeni - slightly confused

-- 
   ^^^    | Evgeni -SargentD- Golov ([EMAIL PROTECTED])
 d(O_o)b  | PGP-Key-ID: 0xAC15B50C
  >-|-<   | WWW: www.die-welt.net   ICQ: 54116744
   / \    | IRC: #sod @ irc.german-freakz.net

Attachment: pgpX99pBd1crN.pgp
Description: PGP signature

Antwort per Email an