Hi Konrad,
Weiß nun jemand, wie chkrootkit auf diese Idee kommt? Einige Tips, t0rn aufzuspüren, habe ich ohne Erfolg probiert.
Das scheint ein Bug in chkrootkit zu sein. Siehe unten.
Na ja, über den Firewall ist nur ssh und www sichtbar, (hoffe ich)? Wer prüfen will: riedel.dynup.net ist der Patient
Da ist mehr als nur Port 22 und 80 offen.
<-------------- schnipp -------------------> jens:# nmap riedel.dynup.net
Starting nmap V. 3.00 ( www.insecure.org/nmap/ ) Interesting ports on pD9E1F78A.dip.t-dialin.net (217.225.247.138): (The 1590 ports scanned but not shown below are in state: closed) Port State Service 22/tcp open ssh 24/tcp open priv-mail 25/tcp open smtp 37/tcp open time 53/tcp open domain 80/tcp open http 137/tcp filtered netbios-ns 138/tcp filtered netbios-dgm 139/tcp filtered netbios-ssn 199/tcp open smux 5901/tcp open vnc-1
Nmap run completed -- 1 IP address (1 host up) scanned in 15 seconds <-------------- schnapp ------------------->
Komisch ist weiterhin:
You have 4 process hidden for ps command Warning: Possible LKM Trojan installed
Die 4 Prozesse sind neuerdings mit PID 0 dargestellt PID TTY STAT TIME COMMAND 1 ? S 0:00 init [2] 2 ? SW 0:00 [keventd] 0 ? SWN 0:00 [ksoftirqd_CPU0] 0 ? SW 0:23 [kswapd] 0 ? SW 0:00 [bdflush] 0 ? SW 0:00 [kupdated] 120 ? SW 0:00 [kapmd] 129 ? SW< 0:00 [mdrecoveryd]
Dieses Problem wurde auf der Debian-Security-Maillingliste vor kurzem diskutiert. Das scheint ein bekanntes Problem mit Kernel-Threads zu sein. Chkrootkit behandelt diese Threds irgendwie falsch. Da ich nicht weis ob du die Liste liest, hier mal auszugsweise die Antworten auf die Anfrage "chkrootkit and lkm" (Message-Id: 20031125121835.4f5f4a4f.graumann@its.caltech.edu)
<---------------------- zitiert ----------------------------> it is a ps/kernel bug, try top. ---------------- I do not think that it is a problem due to the compromised servers, because I noticed this on machines, which had been not updated since these serverhacks. I think this is a bug in the chkrootkit-package, although it has not been reported on the buglist.
But please be carefull, it is only my opinion, I will not guarantee that the hack is not the cause of the problem ;) ------------------- It's nothing at all to do with the compromise, and everything to do with URL:http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=217525 (`ps shows incorrect pid value') and URL:http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=217278 (`chkrootkit: doesn't work too well with kernel threads').
(FWIW, the bugs were filed 31 and 33 days ago, against procps and chkrootkit respectively, and URL:http://bugs.debian.org/{procps,chkrootkit} is currently operational, although lacking a record of activity since late last week.)
Your machine is behaving no more strangely than thousands of other sarge/sid boxes. :-) ----------------------- This is known bug in chkrootkit, it does not understand processes with pid '0' (kernel threads) which are not listed under /proc and emits this "alert".
As a matter of fact it was reported previous to the compromise. Please check the following bugs for more information:
http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=217278 http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=217278 <------------------- nicht mehr zitiert ------------------->
Ja, ich habe ein Backup....
Vorbildlich. Prinzipiell nicht schädlich, hier anscheinend nicht nötig.
Jens Weiße