chkrootkit (Hilfe benötigt)

#1 So, hab mir die aktuelle Version von chkrootkit runtergeladen und gestartet..

Zum Ende hin ergibt sich dieses:

Checking `bindshell'... warning, got bogus tcp line.
not infected
Checking `lkm'... You have 103 process hidden for ps command
Warning: Possible LKM Trojan installed
Checking `rexedcs'... not found
Checking `sniffer'...
eth0 is not promisc
Checking `wted'... nothing deleted
Checking `scalper'... not infected
Checking `slapper'... Warning: Possible Slapper Worm installed
Checking `z2'...
nothing deleted

So, kann das wirklich sein ? Bitte um Hilfe. Danke.

#2 ich würde mal denken: chk = check ---> System auf das Vorhandensein von Rootkist untersuchen - dazu passen dann auch die Ergebniss

Soory, aber unter Linux kenn ich mich nicht aus, aber was ich rauslesen kann ist: Dein System könnte mit Slammer infiziert sein, es laufen 103 versteckte Prozesse (die wohl auf lkm hinweisen könnten) und irgendwas mit bindshell.

R.
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#3 chkrootkit untersucht denn Rechner auf Rootkits.

Also Böswilligen Code.

Je nach dem wie wichtig der Rechner ist, würde ich nun einen Virenscanner (rootkits sind viren) oder das neuaufsetzen des systemes empfehlen

Was sind Rootkits?

Zitat

Rootkits sind -der ursprünglichen Definition zufolge- eine Sammlung von Programmen, die die Präsenz eines Eindinglings verschleiern oder einem Eindringling privilegierte Rechte verschaffen.
Meist werden Rootkits mit dem Begriff "Backdoor" in Verbindung gebracht, was wohl in der Tatsache begründet ist, dass Rootkits häufig Tools beinhalten, die verhindern/erschweren (sollen), dass ein bereits übernommenes System wieder in seinen Ursprungszustand gebracht -vom Eindring befreit/gereinigt- werden kann, indem möglichst viele Lücken in das betroffene System integriert werden.

Mittlerweile existieren zahlreiche Arten von Rootkits für verschiedene Betriebssysteme; der Aufbau eines Rootkits ist nicht klar zu definieren, da meist mehrere Programme in einem Kit (Baukasten) zusammengefasst sind.
Ein Rootkit könnte beispielsweise das Erstellen von Logs deaktivieren, wenn ein bestimmter Benutzer angemeldet ist. Es könnte aber auch ermöglichen, sich am System mit beliebigem Benutzernamen anzumelden, wenn ein bestimmtes Passwort verwendet wird.
Auch das Modifizieren des Systemkernes -z.B. um es jedem Benutzer zu gestatten, privilegierten Code auszuführen- ist denkbar.

In jedem Fall verletzt ein Rootkit die Integrität eines Systemes, was zur Folge hat/haben kann, dass das System und eventuell weitere Segmente (meist eines Netzwerkes), die in Beziehung zu dem betroffenen System stehen, nicht mehr als verauenswürdig eingestuft werden kann/können.
Der aus diesem Integritätsverlust resultierende Schaden ist in kleineren Umgebungen meist gering; in grösseren Netzwerken (z.B. Firmennetzen) jedoch verheerend.

Das eigentlich Interessante an Rootkits ist jedoch die Tatsache, dass sie sich in eine bereits existierende Architektur integrieren, indem sie (meist sicherheitsrelevante) Knotenpunkte des Systemes modifizieren (patchen).
Derartige Techniken könnten es z.B. selbstreplizierendem Code ermöglichen, ein gesamtes (homogenes) Netzwerk in wenigen Sekunden zu infiltrieren.

http://buhaboard.net/


mfg p2k
__________
http://linux.regionnet.de/ - http://www.pf-lug.de/ - http://www.4logistic.de/ - http://www.pfenz.de