Hallo,

ich habe grade mal chkrootkit über einen meiner Server laufen lassen und bekam folgende bedenktliche Meldung:

Checking `bindshell'... INFECTED (PORTS: 31337)

..die restlichen Meldungen schienen normal.

Auf Port 31337 läuft auf diesem Host ein psybnc.
Kommt dieses "angebliche"(?!) "infected" vom psybnc oder muss ich mir jetzt Sorgen machen? Wie kann ich der Sache nachgehen?

MfG

port vom psybnc ändern und kucken obs immernoch kommt?
würde ich zumindest machen ;~

Hallo,

ich habe den Port auf 31331 gewechselt, nach einem erneutem Durchlauf von chkrootkit:
Checking `bindshell'... not infected

Das komische ist hierbei das jetzt auch nicht 31331 angezeigt wird.
Das lässt mich persöhnlich darauf schliessen, dass mein psybnc exploitet wurde.
Meine Version ist: psyBNC 2.3.1

Und siehe da es existieren sogar exploits dafür:
http://209.100.212.5/cgi-bin/search/search.cgi?searchvalue=psybnc&type=archives&%5Bsearch%5D.x=0&%5Bsearch%5D.y

Ja was wird es sein, erstmal fixxen..

MfG

wie was 31331 wird nicht angezeigt? ;)

und die sploits auf packetstorm sind auch nur dos attacks die wegen dem crappy password management bei psybnc funken.... davon wirste nich backdoored oder sonstwas.
ausserdem ist die 2.3.1 dagegen garnichmehr allergisch sondern halt nur die 2.3....


[17.08.02]
- psyBNC2.3.1 is ready. Download it here. MD5-CheckSum is available here. Also see the Changes.

[22.04.02]
- psyBNC2.3 got patched against the Denial of Service bug found by Tom R. Flo, posted to Bugtraq today. You can download it here. MD5-CheckSum is available here. Also see the Changes. psyBNC2.3.1 will be resolved in public beta next week.

^^^^^^^ auszug psychoid.net

hol dir die neue 2.3.2-4 und stell den port auf irgendwas anderes als 31337 ;~~