Ich habe hier ein stets aktualisiertes Debian vorliegen und erhalte folgenden chkrootkit-Output.
-----------------------------------------------------------------------------------------------
# chkrootkit -q
The following suspicious files and directories were found:
/usr/lib/jvm/.java-gcj.jinfo
/usr/lib/iceweasel/.autoreg
/usr/lib/xulrunner/.autoreg
/lib/init/rw/.ramfs
/usr/lib/security
/usr/lib/security/classpath.security
INFECTED (PORTS: 1524 6667 31337)
eth2: PACKET SNIFFER(/sbin/dhclient3[2930], /usr/bin/dumpcap[8455])
-----------------------------------------------------------------------------------------------
Es gibt zwar Grund zur Annahme, dass
/usr/lib/security
und
/usr/lib/security/classpath.security
false positives sind (google hat geholfen *grins*)
Ausserdem ist der /usr/bin/dumpcap wohl ein Bestandteil von Wireshark ..
Andererseits ist mir das
/usr/libiceweasel/.autoreg
nicht geheuer, weil ich nix drüber gefunden habe, ob das nun wirklich zu iceweasel gehört, oder nicht.
Zudem finde ich die Port-Meldungen mehr als besorgniserregend, denn allein den 31337-er da auftauchen zu sehen deutet ja nicht unbedingt darauf hin, dass da alles in Ordnung ist.
Dadurch, dass ich per google wie gesagt schon ein bisschen was zu den anscheinend öfter auftauchenden false-positives mit chkrootkit gefunden habe wüsste ich nun aber echt gerne:
hat irgendwer ne Ahnung, ob ich nun alarmiert oder beruhigt sein soll?
Sorry, falls das alles ein bisschen "zu n00b" ist, für manche, die das lesen, aber ich wäre in jedem Fall froh über ein paar Links/Überbegriffe zu Themen, die mir zumindest beim Suchen/Verstehen der Thematik weiterhelfen.
Am liebsten wär mir natürlich ein kurzes Statement zu jedem Punkt in der Liste, so dass ich überhaupt mal weiss, was warum da ist bzw. zu welchen Paketen das ganze Zeug gehört, bzw was davon "Teufelszeug" ist .. aber ich will auch nicht zu viel verlangen.
Danke schon mal nur fürs Lesen
greetz
CeFK
