Re: /usr/local/sbin/chkrootkit - INFECTED

From: Bernd Walter <ticso(at)cicely12.cicely.de>
Date: Fri, 2 Jul 2004 14:01:37 +0200



On Fri, Jul 02, 2004 at 01:40:57PM +0200, Tommy K wrote:


> Entwarnung!


> 


> Der Fehler liegt an chkrootkit :-) und nicht am System! *puh*



Im Regelfall werden auch Befehle wie ps, top, netstat, usw ausgetauscht


um fremde Aktivitäten zu tarnen - wenn die nicht gemelded werden ist


die wahrscheinlichkeit eines tatsächlichen Problems gering.


Irgendwas wird die Ausgabe aber denoch ausgelöst haben und du solltest


versuchen das zu klären.


Z.B. mal einen händischen md5 Vergleich mit den original Versionen der


Files machen.



> On Fri, Jul 02, 2004 at 02:35:17AM +0200, Tommy K wrote:


> > Hallo Liste,


> > 


> > bei mir laeuft jeden Tag chkrootkit durch und beim letzten mal hat er


> > folgendens gefunden:


> > 


> > <snip>


> > Checking `basename'... not infected


> > Checking `biff'... not infected


> > Checking `chfn'... INFECTED


> > Checking `chsh'... INFECTED


> > Checking `cron'... not infected


> > Checking `date'... INFECTED


> > Checking `du'... not infected


> > </snip>



-- 
B.Walter                   BWCT                http://www.bwct.de
bernd(at)bwct.de                                  info(at)bwct.de
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message


Received on Fri 02 Jul 2004 - 14:02:42 CEST













search this site