PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : chkrootkit



dan234
07.02.04, 11:40
Hi,

chkrootkit 0.43 meldet nach einem Durchlauf folgende Sachen:

Checking `ldsopreload'... can't exec ./strings-static, not tested
...
Searching for suspicious files and dirs, it may take a while...
/usr/lib/perl5/5.8.1/i386-linux-thread-multi/.packlist
...
Checking `sniffer'... not tested: can't exec ./ifpromisc
...
Checking `wted'... not tested: can't exec ./chkwtmp
...
Checking `z2'... not tested: can't exec ./chklastlog

was soll das nun heissen, ist alles O.K., oder gibt's da was, was es nicht geben sollte?

dan234

Tillit
08.02.04, 02:20
hei

nein, es ist nicht ok. du hast vermutlich bei der installation was falsch gemacht. die meldungen beziehen sich auf die für das scannen notwendigen "module" - sie sind entweder nicht installiert oder du startest nicht im installationsverzeichnis wenn du scannen willst. du musst chkrootkit aus dem verzeichnis starten, in dem du es installiert hast. probiere das erstmal bevor du noch mal versuchst neu zu installieren, vielleicht stehst du einfach nur im falschen verzeichnis ;)

greetZ

p.s.: bei mir war das bei der 1. installation auch so, benutze ein rpm falls möglich, dann sind fehler meistens ausgeschlossen.

module (skripte, die prüfen sollen):

./ifpromisc
./chkwtmp
./chklastlog

dan234
08.02.04, 09:35
Hi,

danke für den Tip, ich war zwar im richtigen Verzeichnis, aber ich habe "make sense" vorher vergessen, echt blöder Fehler...

Jetzt steht da aber folgendes:

...
Checking `wted'... nothing deleted
...
Checking `z2'... nothing deleted
...

was ist denn der Unterschied zwischen "nothing detected / infected" zu "nothing deleted", heisst das, das da was ist?

Folgende Meldung ist geblieben:

...Searching for suspicious files and dirs, it may take a while...
/usr/lib/perl5/5.8.1/i386-linux-thread-multi/.packlist
...

dan234

Tillit
10.02.04, 01:34
hei

hm... habe ich bei diesen beiden auch stehen - weiss ich leider auch net. geh doch mal auf die projektseite von chkrootkit http://www.chkrootkit.org/ und dort die faq oder frage den programmierer. ich schaue auch nochmal nach, ich meine, das wäre vorher nicht gewesen *grübel* bei mir kam immer nur not infected.

aber ich hab was neues drin:

Checking `lkm'... You have 1 process hidden for ps command
Warning: Possible LKM Trojan installed


sagt das jemandem was?

hab schon was durch googlen gefunden, für dies interessiert:

http://bolug.uni-bonn.de/archive/mailinglisten/html/SchAN-User/2003-06/msg00319.html
ich kann mir nur schwer vorstellen, wie das mit ner firewall und nem aktuellen virenscanner gehen sollte... netstat meldet mir auch keine offenen ports

mal sehen, ob ich zum anderen problem auch noch was finde

greetZ

kth
10.02.04, 01:54
Original geschrieben von Tillit
Checking `lkm'... You have 1 process hidden for ps command
Warning: Possible LKM Trojan installed


sagt das jemandem was? Ja, das kommt mir bekannt vor:

http://www.linuxforen.de/forums/showthread.php?threadid=59034
https://bugzilla.redhat.com/bugzilla/show_bug.cgi?id=80611

Also mit hoher Wahrscheinlichkeit ein Fehlalarm.

Tillit
10.02.04, 02:00
*lach* da haben sich unsere beiträge überschnitten ;) trotzdem danke

Tillit
10.02.04, 03:10
hm....

das habe ich jetzt gefunden:

PID 10375: not in ps output
CWD 10375: /home/user/chkrootkit/chkrootkit-0.42b
EXE 10375: /bin/bash
You have 1 process hidden for ps command
not found
###
### Output of: ./ifpromisc
###
ppp0 is not promisc
not infected
###
### Output of: ./chkwtmp -f /var/log/wtmp
###

not infected
not infected
###
### Output of: ./chklastlog -f /var/log/wtmp -l /var/log/lastlog
###

[root@user chkrootkit-0.42b]# cat /proc/[10375]/status |grep Name
Name: init
Name: ksoftirqd_CPU0
Name: bdflush
Name: kinoded

was sind das für proggis?

ich habe alle sicherheitsupdates eingespielt und biete keine dienste nach aussen an - diese lkm meldung ist neu.

ich habe tripwire laufen, mir fällt an dem log aber nix auf (wie kann ich einen tripwirelauf in eine datei abspeichern?)

noch ein edit: mein aktueller antivir meldet mir keine infektionen.


greetZ

kth
10.02.04, 14:30
Original geschrieben von Tillit
PID 10375: not in ps output
CWD 10375: /home/user/chkrootkit/chkrootkit-0.42b
EXE 10375: /bin/bash
You have 1 process hidden for ps command
not foundHier ist ihm (chkrootkit) aufgefallen, dass ein laufendes Shell-Skript (das nach ihm selbst aussieht!) nicht in der ps-Ausgabe auftaucht.
[root@user chkrootkit-0.42b]# cat /proc/[10375]/status |grep Name
Name: init
Name: ksoftirqd_CPU0
Name: bdflush
Name: kinoded

was sind das für proggis?Lass mal die eckigen Klammern um die PID weg, ansonsten schaust du nach den Prozessen 1, 0, 3, 7 und 5. ;)

Tillit
11.02.04, 01:24
hei,
danke für die antwort, ich werde es mir gleich noch anschauen.

ich habe jetzt mal getestet:

solange ich nicht per ppp0 online gehen will, ist kein hidden prozess da - dann habe ich kppp gestartet (noch nicht verbunden) und siehe da: netstat meldet bereits:

vor internetverbindung, mit aktiviertem kppp

[user@user]$ netstat -an | grep tcp
tcp 0 0 127.0.0.1:1024 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:783 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:6000 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:631 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:1032 127.0.0.1:1024 TIME_WAIT
tcp 0 0 127.0.0.1:1031 127.0.0.1:111 TIME_WAIT

nach connect:

[user@user]$ netstat -an | grep tcp
tcp 0 0 127.0.0.1:1024 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:783 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:6000 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:631 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN

und dann kam auch wieder die meldung im chkrootkit

Checking `lkm'... You have 1 process hidden for ps command
Warning: Possible LKM Trojan installed

PID 8347: not in ps output
CWD 8347: /dev
EXE 8347: /sbin/devfsd
You have 1 process hidden for ps command
not found
###

### Output of: ./ifpromisc
###
ppp0 is not promisc
not infected

der hidden prozess ist also auch ein anderer als gestern.

wenn ich das ohne die eckige klammer mit unterschiedlichen blanks mache, kommen falsche angaben zurück:

cat /proc/8347/status |grep Name
cat: /proc/8347/status: No such file or directory
[root@user]# cat /proc/8347 /status |grep Name
cat: /proc/8347: No such file or directory
cat: /status: No such file or directory
[root@user]# cat /proc/ 8347/status |grep Name
cat: /proc/: Is a directory
cat: 8347/status: No such file or directory

was mache ich denn dann falsch? den tipp habe ich über googlen gefunden und dort wirds halt mit der eckigen klammer angegeben. scheint aber logisch, was du sagst, es kommen ja dann 4 prozesse raus


mit der eckigen klammer kommt:

cat /proc/[8347]/status |grep Name
Name: ksoftirqd_CPU0
Name: kswapd
Name: kinoded
Name: mdrecoveryd

falls er sich selbst "findet" ist es noch seltsamer: bis gestern kam die meldung nämlich nie. noch ne idee? auf platt machen habe ich keinen bock, wenigstens ein frisches antivir müsste ja was melden. wie interpretiert ihr die netstat meldungen?

lsmod sieht auch nicht falsch aus:

lsmod
Module Size Used by Not tainted
ide-floppy 16128 0 (autoclean)
ide-tape 48816 0 (autoclean)
udf 91840 0 (autoclean)
nls_iso8859-15 4060 1 (autoclean)
nls_cp850 4284 1 (autoclean)
vfat 11820 1 (autoclean)
fat 38040 0 (autoclean) [vfat]
ppp_deflate 4472 1 (autoclean)
bsd_comp 5400 0 (autoclean)
sd_mod 13804 2
scsimon 9312 0 (unused)
mod_quickcam 102912 0
usb-storage 91616 1
videodev 7936 1 [mod_quickcam]
usb-ohci 21080 0 (unused)
usbcore 74988 0 [mod_quickcam usb-storage usb-ohci]
lp 8160 0
parport_pc 25544 1
parport 34472 1 [lp parport_pc]
snd-seq-oss 32000 0 (unused)
snd-seq-midi-event 6080 0 [snd-seq-oss]
snd-seq 42544 2 [snd-seq-oss snd-seq-midi-event]
snd-pcm-oss 43652 0
snd-mixer-oss 14200 0 [snd-pcm-oss]
snd-intel8x0 22020 0
snd-pcm 79588 0 [snd-pcm-oss snd-intel8x0]
snd-timer 18436 0 [snd-seq snd-pcm]
snd-ac97-codec 45752 0 [snd-intel8x0]
snd-page-alloc 9044 0 [snd-intel8x0 snd-pcm]
snd-mpu401-uart 4704 0 [snd-intel8x0]
snd-rawmidi 17760 0 [snd-mpu401-uart]
snd-seq-device 5832 0 [snd-seq-oss snd-seq snd-rawmidi]
snd 41380 0 [snd-seq-oss snd-seq-midi-event snd-seq snd-pcm-oss snd-mixer-oss snd-intel8x0 snd-pcm snd-timer snd-ac97-codec snd-mpu401-uart snd-rawmidi snd-seq-device]
soundcore 6340 0 [snd]
ppp_async 9312 1
ppp_generic 24292 3 [ppp_deflate bsd_comp ppp_async]
slhc 6564 1 [ppp_generic]
ipt_state 1080 27 (autoclean)
ipt_REJECT 3960 4 (autoclean)
ipt_limit 1560 6 (autoclean)
ipt_LOG 4184 6 (autoclean)
ip_conntrack_ftp 5168 0 (unused)
ip_conntrack 26468 2 [ipt_state ip_conntrack_ftp]
iptable_filter 2316 1 (autoclean)
ip_tables 15072 5 [ipt_state ipt_REJECT ipt_limit ipt_LOG iptable_filter]
af_packet 14856 0 (autoclean)
sr_mod 17016 0 (autoclean)
floppy 55932 0
button 3692 0 (unused)
thermal 8132 0 (unused)
processor 10840 0 [thermal]
fan 2528 0 (unused)
ac 2784 0 (unused)
battery 6944 0 (unused)
sis900 15244 0 (autoclean) (unused)
supermount 84032 4 (autoclean)
ide-scsi 11376 0
scsi_mod 105792 5 [sd_mod scsimon usb-storage sr_mod ide-scsi]
ide-cd 34052 0
cdrom 32608 0 [sr_mod ide-cd]
rtc 9004 0 (autoclean)
ext3 60048 2
jbd 39296 2 [ext3]


thX & greetZ