Re: chkrootkit findet LKM Trojan genau einmal
Am 2004-07-31 02:32:24, schrieb Johannes Roettger: * Michelle Konzack [EMAIL PROTECTED] [2004-07-30 23:02]: Schon mal geGOGLEd ? Da findest Du jede menge zum Thema. Ich muss sagen, ich finde dein Verhalten wenig konstruktiv... AFAIR hat er um Rat gebeten, und nicht um UTFSE. Ich zumindest empfinde seine Anfrage als absolut legitim. Wieso ? Message eintippen, auf Suchen klicken und dann bekommste dutzende von Seiten mit den passenden erklärungen... Wesenlich schnelle als hier auf der Liste Abgesehen davon habe ich 37 threads innerhalb der lezten 7 Monate auf lists.debian.org gefunden. IMHO, Johannes Greetings Michelle -- Linux-User #280138 with the Linux Counter, http://counter.li.org/ Michelle Konzack Apt. 917 ICQ #328449886 50, rue de Soultz MSM LinuxMichi 0033/3/8845235667100 Strasbourg/France IRC #Debian (irc.icq.com) signature.pgp Description: Digital signature
Re: chkrootkit findet LKM Trojan genau einmal
* Michelle Konzack [EMAIL PROTECTED] [2004-07-31 09:57]: Message eintippen, auf Suchen klicken und dann bekommste dutzende von Seiten mit den passenden erklärungen... Wesenlich schnelle als hier auf der Liste Abgesehen davon habe ich 37 threads innerhalb der lezten 7 Monate auf lists.debian.org gefunden. Wenn man das Ursprungsposting liest bekommt man nicht den Eindruck, dass der Autor ein totaler DAU ist. Er hat sich, soweit ich das beurteilen kann, richtig verhalten, was den Umgang mit einem potentiell verseuchten System angeht. Natürlich ist es ratsam und wünschenswert zuerst Google zu konsultieren, aber ich würde jetzt unterstellen, dass der Betreffende dies schon getan hat (aufgrund seines professionellen Verhaltens). Aber auch ich wäre mit absoluter Sicherheit unsicher (Ui, das klingt paradox :-), wenn ich sowas erlebt hätte, und es ist einfach sicherer (nochmal) nachzufragen, was so ein sensibeles Thema angeht. Sicherheit Geschwindigkeit Und mit einer Aufforderung zu Googlen ist niemandem geholfen. Just my 2 cent, Johannes -- Ein guter Mensch ist der, der sein Kinderherz nicht verliert. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: chkrootkit findet LKM Trojan genau einmal
Johannes Roettger [EMAIL PROTECTED] writes: Natürlich ist es ratsam und wünschenswert zuerst Google zu konsultieren, aber ich würde jetzt unterstellen, dass der Betreffende dies schon getan hat (aufgrund seines professionellen Verhaltens). Erstmal danke für die Unterstützung. :) Natürlich habe ich zuerst Google-Groups befragt, noch bevor ich das System zum ersten Test heruntergefahren habe. Allerdings waren die meisten Treffer entweder veraltet oder gaben allgemeine Lösungen wie System komplett neu aufsetzen. Die wirklich relevanten Dokumente fielen mir dann erst auf, als ich das Posting bereits abgeschickt hatte - aber das war trotzdem nicht unnötig, wie bspw. das Posting von gerhard zeigt. Aber auch ich wäre mit absoluter Sicherheit unsicher (Ui, das klingt paradox :-), wenn ich sowas erlebt hätte, und es ist einfach sicherer (nochmal) nachzufragen, was so ein sensibeles Thema angeht. Genau das war auch mein Gedankengang. Und egal was auch immer ich bei Google gefunden hätte, ein paar zusätzliche Meinungen halte ich für absolut hilfreich. Und mit einer Aufforderung zu Googlen ist niemandem geholfen. Nun, das trifft bpsw. sehr wohl auf Leute zu, die alle drei Tage in einem Posting fragen, wie man denn nun DMA für das DVD-Laufwerk aktiviert. ;) -- You never know who's right but you always know who's in charge J. Percuson -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
chkrootkit findet LKM Trojan genau einmal
Hallo! Bei meinem letzten regelmässigen Test mit chkrootkit fiel diesem ein versteckter Prozess auf. Beim anschliessenden zweiten Durchlauf allerdings gab es keinerlei Fehlermeldungen. Ich habe das System sofort heruntergefahren und mit dem chkrootkit einer Knoppix-CD getestet - keine Beanstandungen. Ein nmap des wieder gestarteten Systems zeigt auch keine Besonderheiten. Nun bin ich mir allerdings unschlüssig, wie ich weiter vorgehen soll. Sollte ich das System neu aufsetzen oder kann es für dieses Verhalten einen anderen Grund geben? Der Kernel ist selbstgebaut und enthält den Openwall-Patch. Danke für jede Hilfe Stephan -- Nehmt einem Christen die Furcht von der Hölle, und ihr nehmt ihm seinen Glauben. Denis Diderot -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: chkrootkit findet LKM Trojan genau einmal
On Fri, Jul 30, 2004 at 07:41:08PM +0200, Stephan Windmüller wrote: Bei meinem letzten regelmässigen Test mit chkrootkit fiel diesem ein versteckter Prozess auf. Beim anschliessenden zweiten Durchlauf allerdings gab es keinerlei Fehlermeldungen. Jo, frag mal Google zu dem Thema, chkrootkit verhaut sich an an der Stelle öfters mal. Grüße, Torsten -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: chkrootkit findet LKM Trojan genau einmal
Am Freitag 30 Juli 2004 19:41 schrieb Stephan Windmüller: Hallo! Bei meinem letzten regelmässigen Test mit chkrootkit fiel diesem ein versteckter Prozess auf. Beim anschliessenden zweiten Durchlauf allerdings gab es keinerlei Fehlermeldungen. Ich habe das System sofort heruntergefahren und mit dem chkrootkit einer Knoppix-CD getestet - keine Beanstandungen. Ein nmap des wieder gestarteten Systems zeigt auch keine Besonderheiten. Nun bin ich mir allerdings unschlüssig, wie ich weiter vorgehen soll. Sollte ich das System neu aufsetzen oder kann es für dieses Verhalten einen anderen Grund geben? Der Kernel ist selbstgebaut und enthält den Openwall-Patch. Hallo Stephan, Welchen kernel verwendest Du ? Bei bestimmten kernel (= 2.6 oder andere kernel mit NPTL) ist das ein bekannter false-positiv. Manfred Sindhoff wrote 22 May 2004 in debian-user-german: The lkm check is known to produce false positives for NPTL kernels (2.6 kernels or 2.4 with NPTL patches). Common multithreaded programs which will show this behaviour are slapd, mozilla and apache2 if you use one of its threading MPMs. (http://www.wiggy.net/debian/developer-securing/) Danke für jede Hilfe Stephan
Re: chkrootkit findet LKM Trojan genau einmal
Am 2004-07-30 19:41:08, schrieb Stephan Windm?ller: Hallo! Bei meinem letzten regelmässigen Test mit chkrootkit fiel diesem ein versteckter Prozess auf. Beim anschliessenden zweiten Durchlauf allerdings gab es keinerlei Fehlermeldungen. Ich habe das System sofort heruntergefahren und mit dem chkrootkit einer Knoppix-CD getestet - keine Beanstandungen. Ein nmap des wieder gestarteten Systems zeigt auch keine Besonderheiten. Nun bin ich mir allerdings unschlüssig, wie ich weiter vorgehen soll. Sollte ich das System neu aufsetzen oder kann es für dieses Verhalten einen anderen Grund geben? Schon mal geGOGLEd ? Da findest Du jede menge zum Thema. Danke für jede Hilfe Stephan Greetings Michelle -- Linux-User #280138 with the Linux Counter, http://counter.li.org/ Michelle Konzack Apt. 917 ICQ #328449886 50, rue de Soultz MSM LinuxMichi 0033/3/8845235667100 Strasbourg/France IRC #Debian (irc.icq.com) -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: chkrootkit findet LKM Trojan genau einmal
gerhard [EMAIL PROTECTED] writes: Der Kernel ist selbstgebaut und enthält den Openwall-Patch. Welchen kernel verwendest Du ? Bei bestimmten kernel (= 2.6 oder andere kernel mit NPTL) ist das ein bekannter false-positiv. Es handelt sich um einen 2.4.26, allerdings weiss ich nicht, was NPTL für ein Patch ist... Aber wie schon im anderen Posting geschrieben: Scheint ein Problem mit procps zu sein, der entsprechende Bug ist bereits archiviert. Danke Stephan -- /\ --- JOIN NOW! --- \ / ASCII ribbon campaign X against HTML / \in mail and news -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: chkrootkit findet LKM Trojan genau einmal
Torsten Schneider [EMAIL PROTECTED] writes: Bei meinem letzten regelmässigen Test mit chkrootkit fiel diesem ein versteckter Prozess auf. Beim anschliessenden zweiten Durchlauf allerdings gab es keinerlei Fehlermeldungen. Jo, frag mal Google zu dem Thema, chkrootkit verhaut sich an an der Stelle öfters mal. Anscheinend gab es Probleme mit chkrootkit und procps. Auf diese Bugreports bin ich aber leider erst nach Abschicken meines Postings gestossen... -- OE = Trabi || XNews = Golf || Gnus = 30 Tonner, 10.000 PS, 300 Sachen Höchstgeschwindigkeit, 2 Liter Verbrauch. Um damit zu fahren musst du zwar noch mal in die Fahrschule, danach spuckst du den anderen aber auf der Autobahn von oben auf den Kopf. [Frank Schmitt in dcsn] -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: chkrootkit findet LKM Trojan genau einmal
* Michelle Konzack [EMAIL PROTECTED] [2004-07-30 23:02]: Schon mal geGOGLEd ? Da findest Du jede menge zum Thema. Ich muss sagen, ich finde dein Verhalten wenig konstruktiv... AFAIR hat er um Rat gebeten, und nicht um UTFSE. Ich zumindest empfinde seine Anfrage als absolut legitim. IMHO, Johannes -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)