Hi,
Nu isses passiert(Debian Testing):
# chkrootkit -q Possible t0rn v8 (or variation) rootkit installed Possible RH-Sharpe's rootkit installed
Weiß nun jemand, wie chkrootkit auf diese Idee kommt? Einige Tips, t0rn aufzuspüren, habe ich ohne Erfolg probiert. Ein nmap vom Rechner nebenan bringt: Port State Service 9/tcp open discard 13/tcp open daytime 21/tcp open ftp 22/tcp open ssh 25/tcp open smtp 37/tcp open time 80/tcp open http 110/tcp open pop-3 111/tcp open sunrpc 113/tcp open auth 139/tcp open netbios-ssn 199/tcp open smux ???? 389/tcp open ldap 445/tcp open microsoft-ds 631/tcp open cups 873/tcp open rsync 924/tcp open unknown rpc.statd 955/tcp open unknown rpc.mount 2049/tcp open nfs 2988/tcp open unknown ??? wird von lsof -i ign. 3306/tcp open mysql 5432/tcp open postgres 5556/tcp open unknown rplayd 5901/tcp open vnc-http-1 6001/tcp open X11:1 8888/tcp open sun-answerbook 10000/tcp open snet-sensor-mgmt 55556/tcp open unknown rplayd
Na ja, über den Firewall ist nur ssh und www sichtbar, (hoffe ich)? Wer prüfen will: riedel.dynup.net ist der Patient
Komisch ist weiterhin:
You have 4 process hidden for ps command Warning: Possible LKM Trojan installed
Die 4 Prozesse sind neuerdings mit PID 0 dargestellt PID TTY STAT TIME COMMAND 1 ? S 0:00 init [2] 2 ? SW 0:00 [keventd] 0 ? SWN 0:00 [ksoftirqd_CPU0] 0 ? SW 0:23 [kswapd] 0 ? SW 0:00 [bdflush] 0 ? SW 0:00 [kupdated] 120 ? SW 0:00 [kapmd] 129 ? SW< 0:00 [mdrecoveryd]
Ja, ich habe ein Backup....
Mit besorgten Grüßen Konrad Riedel