van_haakonnen
Registered User
Hallo Leute,
ich habe eben gerade bemerkt, dass das Tool rkhunter bei mir seit heute folgendes anzeigt:
Der Server ist ein Standart Alturo Webserver Plus mit Suse 9.1 und Confixx 3.1. Updates habe ich immer sofort eingespielt.
Den SSH Port habe ich auf einen anderen verlegt und den Login als root gesperrt. Zusätzlich habe ich noch in den hosts.allow und hosts.deny den SSH Zugang explizit auf die (feste) Internet-IP meines PC gesetzt und alles andere gesperrt.
Das chkrootkit findet jedoch nichts ungewöhnliches außer bindshell Ports: 465 infected. Dies ist ja eine Fehldiagnose und völlig in Ordnung.
rkhunter findet außer den "bad hashes" auch nichts weiterhin.
Ich habe einige Tage vorher unter Yast das online-Update durchgeführt und einige Updates installiert (größer fünf u.a. auch ein Kernel-Update).
Kann der Alarm von rkhunter vielleicht daran liegen, dass etwas falsch erkannt wird? Also ein Fehlalarm?
Der Traffic auf dem Server sieht nämlich auch völlig normal aus...
Vielen Dank für eure Hilfe im Voraus
mfg
Van_Haakonnen
ich habe eben gerade bemerkt, dass das Tool rkhunter bei mir seit heute folgendes anzeigt:
Code:
...
/bin/mount [ BAD ]
...
/bin/login [ BAD ]
...
--------------------------------------------------------------------------------
Rootkit Hunter found some bad or unknown hashes. This can be happen due replaced
binaries or updated packages (which give other hashes). Be sure your hashes are
fully updated (rkhunter --update). If you're in doubt about these hashes, contact
the author (fill in the contact form).
--------------------------------------------------------------------------------Der Server ist ein Standart Alturo Webserver Plus mit Suse 9.1 und Confixx 3.1. Updates habe ich immer sofort eingespielt.
Den SSH Port habe ich auf einen anderen verlegt und den Login als root gesperrt. Zusätzlich habe ich noch in den hosts.allow und hosts.deny den SSH Zugang explizit auf die (feste) Internet-IP meines PC gesetzt und alles andere gesperrt.
Das chkrootkit findet jedoch nichts ungewöhnliches außer bindshell Ports: 465 infected. Dies ist ja eine Fehldiagnose und völlig in Ordnung.
rkhunter findet außer den "bad hashes" auch nichts weiterhin.
Ich habe einige Tage vorher unter Yast das online-Update durchgeführt und einige Updates installiert (größer fünf u.a. auch ein Kernel-Update).
Kann der Alarm von rkhunter vielleicht daran liegen, dass etwas falsch erkannt wird? Also ein Fehlalarm?
Der Traffic auf dem Server sieht nämlich auch völlig normal aus...
Vielen Dank für eure Hilfe im Voraus
mfg
Van_Haakonnen