PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : chkrootkit findet sniffer?! Was nun?



Cenobite
25.07.04, 01:03
Hi!

Habe grad wieder mal chkrootkit durchlaufen lassen und nun wurde auf meinem Rechner das erste mal etwas gefunden.

Und zwar:

Checking `sniffer'... eth0: PF_PACKET(/sbin/dhcpcd)

Könnte mit bitte jemand erklären was es damit auf sich hat? Ist das nun wirklich ein sniffer oder kann das andere gründe haben?
Bin ziemlich ratlos was ich nun machen soll.

grüsse
ceno

steam
25.07.04, 01:19
der ganze chkrootkit output waere hilfreich

Cenobite
25.07.04, 01:40
Jetzt steht bei sniffer plötzlich sogar noch mehr dort?! :confused:

biddesehr:

root@gentoo:ceno $ chkrootkit
ROOTDIR is `/'
Checking `amd'... not found
Checking `basename'... not infected
Checking `biff'... not found
Checking `chfn'... not infected
Checking `chsh'... not infected
Checking `cron'... not infected
Checking `date'... not infected
Checking `du'... not infected
Checking `dirname'... not infected
Checking `echo'... not infected
Checking `egrep'... not infected
Checking `env'... not infected
Checking `find'... not infected
Checking `fingerd'... not found
Checking `gpm'... not infected
Checking `grep'... not infected
Checking `hdparm'... not infected
Checking `su'... not infected
Checking `ifconfig'... not infected
Checking `inetd'... not tested
Checking `inetdconf'... not found
Checking `identd'... not found
Checking `init'... not infected
Checking `killall'... not infected
Checking `ldsopreload'... not infected
Checking `login'... not infected
Checking `ls'... not infected
Checking `lsof'... not found
Checking `mail'... not infected
Checking `mingetty'... not found
Checking `netstat'... not infected
Checking `named'... not found
Checking `passwd'... not infected
Checking `pidof'... not infected
Checking `pop2'... not found
Checking `pop3'... not found
Checking `ps'... not infected
Checking `pstree'... not infected
Checking `rpcinfo'... not infected
Checking `rlogind'... not found
Checking `rshd'... not found
Checking `slogin'... not infected
Checking `sendmail'... not found
Checking `sshd'... not infected
Checking `syslogd'... not infected
Checking `tar'... not infected
Checking `tcpd'... not infected
Checking `tcpdump'... not infected
Checking `top'... not infected
Checking `telnetd'... not infected
Checking `timed'... not found
Checking `traceroute'... not found
Checking `vdir'... not infected
Checking `w'... not infected
Checking `write'... not infected
Checking `aliens'... no suspect files
Searching for sniffer's logs, it may take a while... nothing found
Searching for HiDrootkit's default dir... nothing found
Searching for t0rn's default files and dirs... nothing found
Searching for t0rn's v8 defaults... nothing found
Searching for Lion Worm default files and dirs... nothing found
Searching for RSHA's default files and dir... nothing found
Searching for RH-Sharpe's default files... nothing found
Searching for Ambient's rootkit (ark) default files and dirs... nothing found
Searching for suspicious files and dirs, it may take a while...
/usr/lib/wine/.data /usr/lib/wine/.data/fake_windows/.keep /usr/lib/wine/.data/fake_windows/Windows/.keep /usr/lib/wine/.data/fake_windows/Windows/Fonts/.keep /usr/lib/wine/.data/fake_windows/Windows/Recent/.keep /usr/lib/wine/.data/fake_windows/Windows/System/.keep /usr/lib/wine/.data/fake_windows/Windows/Start Menu/.keep /usr/lib/wine/.data/fake_windows/Windows/Start Menu/Programs/.keep /usr/lib/wine/.data/fake_windows/Windows/Start Menu/Programs/Startup/.keep /usr/lib/wine/.data/fake_windows/Windows/Desktop/.keep /usr/lib/wine/.data/fake_windows/Windows/Favorites/.keep /usr/lib/wine/.data/fake_windows/Program Files/.keep /usr/lib/.keep /usr/lib/perl5/5.8.1/i686-linux/.packlist /usr/lib/perl5/site_perl/5.8.0/i686-linux/auto/Gtk/Gdk/Pixbuf/.packlist /usr/lib/perl5/site_perl/5.8.0/i686-linux/auto/Gtk/Gdk/ImlibImage/.packlist /usr/lib/perl5/site_perl/5.8.0/i686-linux/auto/Gtk/base/.packlist /usr/lib/perl5/site_perl/5.8.0/i686-linux/auto/Gtk/XmHTML/.packlist /usr/lib/perl5/site_perl/5.8.0/i686-linux/auto/Gimp/.packlist /usr/lib/perl5/site_perl/5.8.0/i686-linux/auto/fb_c_stuff/.packlist /usr/lib/perl5/vendor_perl/5.8.1/i686-linux/auto/Tk/.packlist /usr/lib/perl5/vendor_perl/5.8.1/i686-linux/auto/DBD/mysql/.packlist /usr/lib/perl5/vendor_perl/5.8.1/i686-linux/auto/DBI/.packlist /usr/lib/perl5/vendor_perl/5.8.1/i686-linux/auto/Net/Daemon/.packlist /usr/lib/perl5/vendor_perl/5.8.1/i686-linux/auto/Ogg/Vorbis/.packlist /usr/lib/perl5/vendor_perl/5.8.1/i686-linux/auto/RPC/PlServer/.packlist /usr/lib/perl5/vendor_perl/5.8.1/i686-linux/auto/X11/Protocol/.packlist /usr/lib/perl5/vendor_perl/5.8.1/i686-linux/auto/XML/XSLT/.packlist /usr/lib/perl5/vendor_perl/5.8.1/i686-linux/auto/XML/RegExp/.packlist /usr/lib/perl5/vendor_perl/5.8.1/i686-linux/auto/HTML/Parser/.packlist /usr/lib/perl5/vendor_perl/5.8.1/i686-linux/auto/HTML/Tagset/.packlist /usr/lib/perl5/vendor_perl/5.8.1/i686-linux/auto/Crypt/SSLeay/.packlist /usr/lib/perl5/vendor_perl/5.8.1/i686-linux/auto/Archive/Rar/.packlist /usr/lib/perl5/vendor_perl/5.8.1/i686-linux/auto/libxml-perl/.packlist /usr/lib/perl5/vendor_perl/5.8.1/i686-linux/auto/libwww-perl/.packlist /usr/lib/perl5/vendor_perl/5.8.1/i686-linux/auto/Storable/.packlist /usr/lib/perl5/vendor_perl/5.8.1/i686-linux/auto/XML-DOM/.packlist /usr/lib/gkrellm2/plugins/.keep /usr/lib/nsbrowser/plugins/.keep /usr/lib/mozilla/include/ipc/.headerlist /usr/lib/mozilla/include/enigmime/.headerlist /usr/lib/transgaming_cedega/.transgaming /usr/lib/locale/ru_RU/LC_MESSAGES/.keep /lib/.keep /lib/dev-state/.keep /lib/udev-state/.keep
/usr/lib/wine/.data /usr/lib/transgaming_cedega/.transgaming
Searching for LPD Worm files and dirs... nothing found
Searching for Ramen Worm files and dirs... nothing found
Searching for Maniac files and dirs... nothing found
Searching for RK17 files and dirs... nothing found
Searching for Ducoci rootkit... nothing found
Searching for Adore Worm... nothing found
Searching for ShitC Worm... nothing found
Searching for Omega Worm... nothing found
Searching for Sadmind/IIS Worm... nothing found
Searching for MonKit... nothing found
Searching for Showtee... nothing found
Searching for OpticKit... nothing found
Searching for T.R.K... nothing found
Searching for Mithra... nothing found
Searching for OBSD rk v1... nothing found
Searching for LOC rootkit ... nothing found
Searching for Romanian rootkit ... nothing found
Searching for Suckit rootkit ... nothing found
Searching for Volc rootkit ... nothing found
Searching for Gold2 rootkit ... nothing found
Searching for TC2 Worm default files and dirs... nothing found
Searching for Anonoying rootkit default files and dirs... nothing found
Searching for ZK rootkit default files and dirs... nothing found
Searching for ShKit rootkit default files and dirs... nothing found
Searching for AjaKit rootkit default files and dirs... nothing found
Searching for zaRwT rootkit default files and dirs... nothing found
Searching for anomalies in shell history files... nothing found
Checking `asp'... not infected
Checking `bindshell'... not infected
Checking `lkm'... Checking `rexedcs'... not found
Checking `sniffer'... /proc/5749/fd: No such file or directory
eth0: PF_PACKET(/sbin/dhcpcd)
Checking `w55808'... not infected
Checking `wted'... nothing deleted
Checking `scalper'... not infected
Checking `slapper'... not infected
Checking `z2'... unable to open lastlog-file lastlog

steam
25.07.04, 01:58
Also, ich wurde mir schon sorgen mahcen, besonders wenn es ein root-server ist. Schau mal bei dem root in die .bash_history rein. Schau mal ob logs verswunden sind.
Was sagt netstat ?
Was sagt ps ?

Es sind ja keine richigen massnamen um ein einbruch festzustellen. Hast Du sowas wie tripwire auf dem rechner lauffen ?

Um wirklich sicher zu sein, muss man die kiste platt machen und neuinstallieren. Aber ich wurde erst viel nachforschen. Die chkootkit output sagt ja das die kiste noch nicht verseucht ist. Das da nur ein sniffer moegliche weise haengt. Probier mal zu einem anderen zeitpunkt den chkrootkit lauffen zu lassen. Probier mal die kiste zu rebotten und nochmalls lauffen lassen..

Pingu
25.07.04, 08:54
Könnte mit bitte jemand erklären was es damit auf sich hat? Ist das nun wirklich ein sniffer oder kann das andere gründe haben?
Bin ziemlich ratlos was ich nun machen soll.
Schon einmal Google (http://www.google.com) benutzt?

Mit den beiden Suchwörtern chkrootkit PF_PACKET (http://www.google.com/search?q=chkrootkit+PF_PACKET&ie=UTF-8&oe=UTF-8) findet sich als 4. Link folgendes:

Re: Checking `sniffer'... eth0: PF_PACKET(/sbin/dhclient-2.2.x) (http://lists.debian.org/debian-user/2004/01/msg05013.html)
Lawrence Houston <debian@greenfield.dyndns.org> writes:

> Running the latest CHKROOTKIT (0.43) under Debian (3.0r2) I am now
> receiving the following messages on my Router:
>
> Checking `sniffer'... eth0: PF_PACKET(/sbin/dhclient-2.2.x)
> eth1: PF_PACKET(/sbin/dhclient-2.2.x, /usr/sbin/dhcpd-2.2.x)
>
> Which is a bit worrisome since I had NOT this with previous versions of
> CHKROOTKIT (up to and including 0.42b)!!! Does anyone know if this is
> "normal" for Woody's dhcp-client???

yes, it's normal.

it just means that /sbin/dhclient-2.2.x, /usr/sbin/dhcpd-2.2.x use the
packet interface (which many sniffers use). consider it a false positive.

-l
Mit den folgenden Suchwörtern chkrootkit "Checking `sniffer'... /proc" "No such file or directory" (http://www.google.com/search?q=chkrootkit+%22Checking+%60sniffer'...+/proc%22+%22No+such+file+or+directory%22&ie=UTF-8&oe=UTF-8) findet sich genau ein Link:
WebHostingTalk (http://www.webhostingtalk.com/archive/thread/272360-1.html)


Pingu

artspin
25.07.04, 10:18
Hi!

Ich hab mir den chkrootkit nun auch mal runtergeladen. Jetzt würde ich mich gerne in den Sachverhalt von rootkits einarbeiten, kann aber - so doof es sich vielleicht anhört - keine rk´s zum runterladen finden. Das ganze ist wirklich nur zu Studiumszwecken.
Kann mir bitte jemand einen Tipp geben, wo ich einen (evtl. lrk6) finden kann?

Ciao
-=<artSpin>=-

Cenobite
25.07.04, 23:30
Danke Pingu, ja, hätt ich selbst finden können.....hab auch gesucht, aber scheinbar nicht richtig gegoogelt. :) thanx!

TheGrudge
19.02.05, 15:12
Das heisst dann wohl das dies bei mir auch nichts schlimmes ist:

Checking `sniffer'... lo: not promisc and no packet sniffer sockets
eth0: PACKET SNIFFER(/usr/sbin/dhcpd[5916])
eth1: PACKET SNIFFER(/usr/sbin/pppd[2850], /usr/sbin/dhcpd[5916])
ppp0: not promisc and no packet sniffer sockets

sirmoloch
19.02.05, 15:38
Nein, auch bei dir ists nichts schlimmes. ;)

Manche Dienste benötigen halt den direkten Zugriff auf das entsprechende Interface und für chkrootkit sieht das dann aus als wäre ein bösartiger Sniffer aktiv. Siehe Pingus Beitrag.

steam
19.02.05, 16:15
es gibt noch ein besseres root-kit detektor, heisst rkhunter.
http://www.rootkit.nl/downloads/
er kann die databases selbst updaten mit rkhunter --update
er checkt nicht nur nach rootkits, sondern zeigt auch potentiele lücken im system.
mit rkhunter -c startet man den check.

viel spass damit.

psy
19.02.05, 20:48
ich verschieb den thread jetzt mal nach "sicherheit" ;)