Hallo allerseits
Ich habe hier ein stets aktualisiertes Debian vorliegen und erhalte folgenden chkrootkit-Output.
-----------------------------------------------------------------------------------------------
# chkrootkit -q
The following suspicious files and directories were found:
/usr/lib/jvm/.java-gcj.jinfo
/usr/lib/iceweasel/.autoreg
/usr/lib/xulrunner/.autoreg
/lib/init/rw/.ramfs
/usr/lib/security
/usr/lib/security/classpath.security
INFECTED (PORTS: 1524 6667 31337)
eth2: PACKET SNIFFER(/sbin/dhclient3[2930], /usr/bin/dumpcap[8455])
-----------------------------------------------------------------------------------------------
Es gibt zwar Grund zur Annahme, dass
/usr/lib/security
und
/usr/lib/security/classpath.security
false positives sind (google hat geholfen *grins*)
Ausserdem ist der /usr/bin/dumpcap wohl ein Bestandteil von Wireshark ..
Andererseits ist mir das
/usr/libiceweasel/.autoreg
nicht geheuer, weil ich nix drüber gefunden habe, ob das nun wirklich zu iceweasel gehört, oder nicht.
Zudem finde ich die Port-Meldungen mehr als besorgniserregend, denn allein den 31337-er da auftauchen zu sehen deutet ja nicht unbedingt darauf hin, dass da alles in Ordnung ist.
Dadurch, dass ich per google wie gesagt schon ein bisschen was zu den anscheinend öfter auftauchenden false-positives mit chkrootkit gefunden habe wüsste ich nun aber echt gerne:
hat irgendwer ne Ahnung, ob ich nun alarmiert oder beruhigt sein soll?
Sorry, falls das alles ein bisschen "zu n00b" ist, für manche, die das lesen, aber ich wäre in jedem Fall froh über ein paar Links/Überbegriffe zu Themen, die mir zumindest beim Suchen/Verstehen der Thematik weiterhelfen.
Am liebsten wär mir natürlich ein kurzes Statement zu jedem Punkt in der Liste, so dass ich überhaupt mal weiss, was warum da ist bzw. zu welchen Paketen das ganze Zeug gehört, bzw was davon "Teufelszeug" ist .. aber ich will auch nicht zu viel verlangen.
Danke schon mal nur fürs Lesen
greetz
CeFK
chkrootkit .. false-positive or not?
Re: chkrootkit .. false-positive or not?
nachdem diese Datei weder im Paket enthalten ist und auch nicht als Conffile angeführt wird, wurde ich aber doch bei folgendem Kommando fündigCeFK hat geschrieben:Andererseits ist mir das
/usr/libiceweasel/.autoreg
nicht geheuer, weil ich nix drüber gefunden habe, ob das nun wirklich zu iceweasel gehört, oder nicht.
Code: Alles auswählen
root@gms4:/var/lib/dpkg/info# grep autoreg iceweasel*
iceweasel.postinst: touch /usr/lib/iceweasel/.autoreg
iceweasel.prerm: rm -f /usr/lib/iceweasel/.autoreg
Bei den Ports mach einmal ein
Code: Alles auswählen
netstat -anp | grep 31337
gms
- herrchen
- Beiträge: 3257
- Registriert: 15.08.2005 20:45:28
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Berlin
Re: chkrootkit .. false-positive or not?
gms hat geschrieben:der Sinn dahinter ist mir leider verborgen gebliebenCode: Alles auswählen
root@gms4:/var/lib/dpkg/info# grep autoreg iceweasel* iceweasel.postinst: touch /usr/lib/iceweasel/.autoreg iceweasel.prerm: rm -f /usr/lib/iceweasel/.autoreg
also harmlos ...changelog hat geschrieben: debian/firefox.postinst, debian/firefox.prerm,
debian/firefox-gnome-support.postinst, debian/firefox-gnome-support.prerm:
Touch a .autoreg file at configure time, or removal of gnome-support and
remove it with the package. This will trigger autoregistration of the
components if the compreg.dat and xpti.dat files are older than the
.autoreg file. We used to remove compatibility.ini for that reason, but
stopped doing that because firefox was supposed to do that correctly,
which actually only correctly works on new upstream versions, not new
debian revisions, or installation of gnome-support.
herrchen
Re,
Erstmal Danke für die super-hilfreichen Antworten.
gms:
netstat -anp | grep [port]
Dieses Kommando hat mich sehr beruhigt.
Also es scheint so, als würde da einfach nur portsentry dran lauschen. Schätze das wirds wohl gewesen sein.
Werd mir auch netstat mal genauer unter die Lupe nehmen..
herrchen:
Auch auf die Idee in der changelog nachzuschlagen werd ich mir für die Zukunft merken.
... nun fällt mir noch was ein, da dieses Problem ja nun gelöst ist:
wo ist der button, um den post dementsprechend zu markieren? .. scheinbar kann man das ja hier (hab schon irgendwo so einen "gelösten" post rumschwirren sehen).
bin ich blind, oder machen das hier die op's?
greetz
CeFK
Erstmal Danke für die super-hilfreichen Antworten.
gms:
netstat -anp | grep [port]
Dieses Kommando hat mich sehr beruhigt.
Also es scheint so, als würde da einfach nur portsentry dran lauschen. Schätze das wirds wohl gewesen sein.
Werd mir auch netstat mal genauer unter die Lupe nehmen..
herrchen:
Auch auf die Idee in der changelog nachzuschlagen werd ich mir für die Zukunft merken.
... nun fällt mir noch was ein, da dieses Problem ja nun gelöst ist:
wo ist der button, um den post dementsprechend zu markieren? .. scheinbar kann man das ja hier (hab schon irgendwo so einen "gelösten" post rumschwirren sehen).
bin ich blind, oder machen das hier die op's?
greetz
CeFK
hier funktioniert das manuell, wenn du möchtest, kannst du in den Thread-Titel ein "[gelöst]" reintippenCeFK hat geschrieben:... nun fällt mir noch was ein, da dieses Problem ja nun gelöst ist:
wo ist der button, um den post dementsprechend zu markieren? .. scheinbar kann man das ja hier (hab schon irgendwo so einen "gelösten" post rumschwirren sehen).
bin ich blind, oder machen das hier die op's?
Gruß
gms