PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : chkrootkit: bindshell INFECTED



d-snake
23.02.09, 09:14
Hallo Forum,

ich habe am Wochenende einen Bericht über Rootkits unter Unix Systemen gelesen. Daraufhin habe ich einen Check auf meinem System gemacht. chkrootkit meldet mir

Checking `bindshell'... INFECTED (PORTS: 5190)

Ich habe darauf hin einen Gegencheck mit netstat gemacht

netstat -an|grep 5190
Jedoch ohne Ergebnis, er hat nichts gefunden. Kann es etwas damit zu tun haben, dass ich VMWare Workstation installiert habe?

Ein gegencheck mit rkhunter brachte folgendes Ergebnis:

System checks summary
=====================

File properties checks...
Required commands check failed
Files checked: 138
Suspect files: 3

Rootkit checks...
Rootkits checked : 116
Possible rootkits: 0

Applications checks...
Applications checked: 5
Suspect applications: 0

The system checks took: 1 minute and 38 seconds

All results have been written to the logfile (/var/log/rkhunter.log)

One or more warnings have been found while checking the system.
Please check the log file (/var/log/rkhunter.log)

Die Warnings aus dem Logfile:

[08:42:00] Warning: Checking for prerequisites [ Warning ]
[08:42:00] Warning: WARNING! It is the users responsibility to ensure that when the '--propupd' option
[08:42:08] /usr/bin/ldd [ Warning ]
[08:42:08] Warning: The command '/usr/bin/ldd' has been replaced by a script: /usr/bin/ldd: Bourne-Again shell script text
[08:42:13] /sbin/chkconfig [ Warning ]
[08:42:13] Warning: The command '/sbin/chkconfig' has been replaced by a script: /sbin/chkconfig: a /usr/bin/perl script text
[08:42:14] /sbin/ifup [ Warning ]
[08:42:14] Warning: The command '/sbin/ifup' has been replaced by a script: /sbin/ifup: Bourne-Again shell script text
[08:43:26] Checking if SSH root access is allowed [ Warning ]
[08:43:26] Warning: The SSH configuration option 'PermitRootLogin' has not been set.
[08:43:27] Checking /dev for suspicious file types [ Warning ]
[08:43:27] Warning: Suspicious file types found in /dev:
[08:43:28] Checking for hidden files and directories [ Warning ]
[08:43:28] Warning: Hidden directory found: /dev/.udev

Muss ich mir sorgen machen?

OliverH
23.02.09, 09:54
Zeig uns doch mal die Ausgabe von netstat -tulpen

d-snake
23.02.09, 10:04
Aktive Internetverbindungen (Nur Server)
Proto Recv-Q Send-Q Local Address Foreign Address State Benutzer Inode PID/Program name
tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 0 6337 2522/rpcbind
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 0 9670 3880/sshd
tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN 0 8942 3685/cupsd
tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 0 10568 3915/master
tcp 0 0 :::139 :::* LISTEN 0 11496 3931/smbd
tcp 0 0 :::111 :::* LISTEN 0 6342 2522/rpcbind
tcp 0 0 :::22 :::* LISTEN 0 9672 3880/sshd
tcp 0 0 ::1:631 :::* LISTEN 0 8941 3685/cupsd
tcp 0 0 :::445 :::* LISTEN 0 11494 3931/smbd
udp 0 0 172.16.32.1:137 0.0.0.0:* 0 12055 4289/nmbd
udp 0 0 172.17.40.60:137 0.0.0.0:* 0 12053 4289/nmbd
udp 0 0 192.168.82.1:137 0.0.0.0:* 0 12051 4289/nmbd
udp 0 0 0.0.0.0:137 0.0.0.0:* 0 12048 4289/nmbd
udp 0 0 172.16.32.1:138 0.0.0.0:* 0 12056 4289/nmbd
udp 0 0 172.17.40.60:138 0.0.0.0:* 0 12054 4289/nmbd
udp 0 0 192.168.82.1:138 0.0.0.0:* 0 12052 4289/nmbd
udp 0 0 0.0.0.0:138 0.0.0.0:* 0 12049 4289/nmbd
udp 0 0 0.0.0.0:5264 0.0.0.0:* 1000 31546 5263/evolution-exch
udp 0 0 0.0.0.0:38442 0.0.0.0:* 103 8282 3583/avahi-daemon:
udp 0 0 0.0.0.0:5190 0.0.0.0:* 1000 31420 5189/evolution
udp 0 0 0.0.0.0:980 0.0.0.0:* 0 6336 2522/rpcbind
udp 0 0 0.0.0.0:5353 0.0.0.0:* 103 8281 3583/avahi-daemon:
udp 0 0 0.0.0.0:111 0.0.0.0:* 0 6332 2522/rpcbind
udp 0 0 0.0.0.0:631 0.0.0.0:* 0 8946 3685/cupsd
udp 0 0 :::980 :::* 0 6341 2522/rpcbind
udp 0 0 :::111 :::* 0 6339 2522/rpcbind

Scheint evolution zu sein :confused:. Was hat der mit bindshell zu tun?

marce
23.02.09, 10:10
an sich nichts. Aber man muss Dinge ja irgendwie nennen und das macht man meist an irgendwelchen Standardports fest.

d-snake
23.02.09, 10:20
Wie könnte ich noch heraus finden ob ich ein Rootkit drauf habe?

marce
23.02.09, 10:23
z.B. über AIDE, tripwire, ... - da bräuchtest Du aber eine vertrauenswürdige Referenzdatenbank.

chkrootkit an sich ist schon ok, man muss halt nur auch die Ausgaben interpretieren können.

Um was für ein System handelt es sich denn? Rootkits erhalten zu können bedingt ja schon ein paar Grundvorraussetzungen...

d-snake
23.02.09, 10:50
Ist ne ganz normale Workstation (Laptop). Benutze ihn zum Entwickeln, Mailen (evolution), Office Aufgaben und was sonst noch so anfällt...

Hier mal meine Liste der verwendeten Repos:

| Alias | Name | Aktiviert | Aktualisierung
---+-----------------------------------+-----------------------------------+-----------+---------------
1 | Libdvdcss repository | Libdvdcss repository | Ja | Ja
2 | Main Update Repository | Main Update Repository | Ja | Ja
3 | Michael's_MD | Michael's MD | Ja | Ja
4 | NVIDIA Repository | NVIDIA Repository | Ja | Ja
5 | Packman Repository | Packman Repository | Ja | Ja
6 | driver:wireless | driver:wireless | Ja | Ja
7 | openSUSE_11.1_Standard_Repository | openSUSE 11.1 Standard Repository | Nein | Nein
8 | openSuse_11.1_ISO | openSuse 11.1 ISO | Ja | Nein
9 | openSuse_11.1_Non_OSS_ISO | openSuse 11.1 Non OSS ISO | Ja | Nein
10 | openSuse_11.1_Standard_Repository | openSuse 11.1 Standard Repository | Ja | Ja
11 | repo-debug | openSUSE-11.1-Debug | Nein | Ja
12 | repo-non-oss | openSUSE-11.1-Non-Oss | Ja | Ja
13 | repo-oss | openSUSE-11.1-Oss | Ja | Ja
14 | repo-source | openSUSE-11.1-Source | Ja | Ja
Die einzigsten Distributions fremden Respos sind Packman, Nvidia, libdvdcss und Michael's MD (Dort bekomme ich rpms von der aktuellen Mono Develop Entwicklerversion her, damit ich nicht jedes mal selbst kompilieren muss)

marce
23.02.09, 10:56
dann würde ich ehrlich gesagt sagen, ist die Chance, daß Du Dir ein rootkit einfängst recht gering, vermutlich in einer Epsilon-Umgebung um 0 herum...

d-snake
23.02.09, 11:12
Hab auch nicht wirklich das Gefühl, dass irgendwas drauf ist. Keine unerwarteten Plattenzugriffe, außergewöhnlicher Traffic oder sonst der gleichen. Bin halt nur wegen dem Bericht in der linuxuser darauf gekommen mal einen Test zu machen. Naja, werde trotzdem chkrootkit und rkhunter als Cronjob einrichten.

Danke für eure Hilfe :)

marce
23.02.09, 11:14
Wenn Du _ernsthafte_ Ergebnisse haben willst: Cronjob kannst Du vergessen. Damit das 100% vertrauenswürdige Ergebnisse sind musst Du die Tests von einem vertrauenswürdigem RO-Medium aus starten, also z.B. einer Live-CD.