chkrootkit nicht glaubwürdig?

[Trashi]

Hallo.

Ich habe einen vServer bei Server4you welcher gestern abend neu aufgespielt wurde. Alle Updates sind drauf und viele Prozesse laufen auch nicht:

root@server:/usr/sbin# pstree -u
init─┬─apache2───5*[apache2(www-data)]
     ├─cron
     ├─exim4(Debian-exim)
     ├─munin-node(munin)
     ├─mysqld_safe─┬─logger
     │             └─mysqld(mysql)───2*[{mysqld}]
     ├─sshd───sshd───bash───pstree
     ├─syslogd
     └─xinetd

Da ich den vserver so langsam im Betrieb nehmen möchte, installiere ich gerade noch einiges an Sicherheitssoftware. Unter anderem eben auch chkrootkit. Ich hab das mal durchlaufen lassen und das Ergebniss ist für so ein frisches System meiner Meinung nach ziemlich utopisch und unrealistisch. Ich erwähne mal alles wichtige:

Searching for suspicious files and dirs, it may take a while... /lib/init/rw/.ramfs (hier kommt nie ne antwort mit rum

Checking `lkm'...   You have    24 process hidden for readdir command
chkproc: Warning: Possible LKM Trojan installed

root@server:/usr/sbin# chkrootkit -x lkm
ROOTDIR is `/'
###
### Output of: ./chkproc -v -v -p 3
###
PID  2704(/proc/2704): not in getpriority readdir output
PID  2908(/proc/2908): not in getpriority readdir output
PID  2923(/proc/2923): not in getpriority readdir output
PID 10838(/proc/10838): not in getpriority readdir output
PID 12486(/proc/12486): not in getpriority readdir output
PID 12503(/proc/12503): not in getpriority readdir output
PID 12591(/proc/12591): not in getpriority readdir output
PID 12647(/proc/12647): not in getpriority readdir output
PID 12653(/proc/12653): not in getpriority readdir output
PID 12654(/proc/12654): not in getpriority readdir output
PID 12660(/proc/12660): not in getpriority readdir output
PID 13256(/proc/13256): not in getpriority readdir output
PID 13296(/proc/13296): not in getpriority readdir output
PID 13678(/proc/13678): not in getpriority readdir output
PID 13684(/proc/13684): not in getpriority readdir output
PID 14379(/proc/14379): not in getpriority readdir output
PID 14403(/proc/14403): not in getpriority readdir output
PID 14474(/proc/14474): not in getpriority readdir output
PID 14475(/proc/14475): not in getpriority readdir output
PID 26759(/proc/26759): not in getpriority readdir output
PID 26801(/proc/26801): not in getpriority readdir output
PID 27099(/proc/27099): not in getpriority readdir output
PID 27611(/proc/27611): not in getpriority readdir output
PID 28796(/proc/28796): not in getpriority readdir output
You have    24 process hidden for readdir command

Checking `sniffer'...                                       lo: not promisc and no packet sniffer sockets
venet0: not promisc and no packet sniffer sockets
venet0:0: not promisc and no packet sniffer sockets

Checking `wted'... unable to open wtmp-file wtmp

Checking `z2'...not tested: not found wtmp and/or lastlog file

Nebenher spuckt er noch gefühlte 300x "nothing" oder "not found"'s aus.
Da mir das ganz schön spanisch vorkommt, die Frage an euch: ist chkrootkit in meinem Fall wirklich glaubenwürdig oder sollte ich besser darauf verzichten?

 

[Ben.]

Und wo ist jetzt dein Problem?

Dass du die Ausgabe von chkrootkit nicht verstehst oder du nicht weisst wofür es da ist und warum es diese Meldungen ausgibt?

 

[Trashi]

beides natürlich

 

[Ben.]

Und was hat das dann mit glaubwürdig und unglaubwürdig zu tun?

Weil ich kein Ungarisch spreche sind alle Ungarn unglaubwürdig?

Lies doch einfach mal das Handbuch?!

 

[Trashi]

Das könnte ich unter Umständen tun. Oder habe ich es vllt schon teilweise getan?

Bist du zu egozentrisch/arrogant um anderen zu helfen oder weisst dus auch blos nicht?

Auf solche Antworten kann ich verzichten.
Trotzdem danke!

EDIT: \\ btw wenn ich mich richtig erinnere, gibt es zum chkrootkit kein Handbuch, sondern lediglich eine README aus welcher ich nicht schlau geworden bin! Sollte es doch eins geben: bitte die Ungarn einfach mal ausm Spiel lassen und mir einfach nur den Link posten! Danke

 

[NightEagle]

Mhmm,

hast Du die README mal geöffnet ? Da steht doch alles drin, was Du brauchst, und es ist alles erklärt..

Gruß, Frank

 

[Ben.]

Bist du zu egozentrisch/arrogant um anderen zu helfen oder weisst dus auch blos nicht?

Egozentrisch ja, arrogant nein. Ich helfe anderen sehr gerne (rate mal warum ich hier im Forum angemeldet bin?), aber nur, wenn diese auch ihren Teil dazu beitragen. Ich wollte von dir auch nur wissen, warum du die Glaubwürdigkeit von chkrootkit in Frage stellst, nur weil du nicht verstanden hast was es dir sagt. Ob man damit jetzt persönliche Defizite oder Neigungen ableiten kann würde ich jetzt nicht behaupten.

Auf solche Antworten kann ich verzichten.

Dann schreib doch bitte bei deiner Frage dazu, dass du keine Hinweise auf bestehende Dokumentationen wünschst, die andere mit viel Arbeit für dich verfasst haben?

In der README steht einiges drin und über Suchmaschinen findest du noch erheblich mehr, insbesondere dann, wenn du nach einzelnen Elementen der Ausgabe suchst.

 

[matzewe01]

Bist du zu egozentrisch/arrogant um anderen zu helfen oder weisst dus auch blos nicht?

EDIT: \\ btw wenn ich mich richtig erinnere, gibt es zum chkrootkit kein Handbuch, sondern lediglich eine README aus welcher ich nicht schlau geworden bin! Sollte es doch eins geben: bitte die Ungarn einfach mal ausm Spiel lassen und mir einfach nur den Link posten! Danke

Zu Punkt 2:

http://www.chkrootkit.org/books/

Es gibt vieleicht kein "Handbuch" im klasischen Sinn, aber genug Dokumentationen und Fachliteratur.

Zu Punkt 1:

Es macht wenig Sinn, wenn man bekannte Dokumentationen abschreibt und wiederholt. Ein gewisses Wissen muss man sich halt selbständig aneignen.

Und in Security Fragen ist ein profundes Halbwissen mehr schlecht als recht.
Ein umfrangreiches Wissen zu vermitteln dauert dann doch einige Jahre, bereitet gewissen Aufwand und kostet i.d.R. auch Geld und fordert im Gegenzug auch viel Erfahrung.
Ansonsten, ja chkrootkit ist glaubwürdig.

 

[Trashi]

Alter Schwede. Ihr werdet aber auch alle mitm heiligen Schein geboren oder? Da wird einem ja schlecht.

Ich weiß nicht was das soll, dass hier plötzlich alle anfangen für mich zu googeln. Ist ja nett gemeint, aber dass ich mir zu jedem x beliebigen Thema nen Buch kaufen kann, war mir auch vorher klar. Das gibts nämlich nicht erst seit chkrootkit Zeiten.
Und wenn ich in der besagten README alles gefunden hätte, hätte ich sicher keinen Thread erstellt, um mir genau dieses Palaver zu ersparen.
Was meint ihr warum ich eine dermaßen KLARE Frage gestellt und dermaßen klare Informationen zum Problem ausgegeben habe? Ich möchte nicht erst 3 Bücher kaufen und lesen. Ich weiß nicht was ihr so den ganzen Tag macht, aber ich habe dafür (leider) weder die Zeit noch die Lust. Das Sicherheit eine wichtige Sache ist und man dem Thema genug Aufmerksamkeit schenken sollte ist mir durchaus gut bewusst. Allerdings muss man auch klar abwägen. Ich möchte jetzt keine Internetseiten betreiben wo am Tag 150000 Menschen drüber rennen. Ich bin mir des Risikos im Allgemeinen also ebenfalls durchaus bewusst.
Da es scheinbar Probleme mit der Fragestellung gegeben hat, hier nochmal ne kleine Erläuterung. Ich hoffe das auch der letzte die eigentlich Frage verstanden hat (oder auch nicht Ben? > bei dir bin ich mir nicht sicher...s.o.) Bitte spart euch die Nerven und die Zeit, so wirklich furchtbar produktive, Krümelk***erposts abzuliefern.

An alle anderen die mir wirklich helfen möchten, entschuldigt diese wirklich schwachsinnige Diskussion. Ich freue mich über jeden produktiven Beitrag!

 

[Ben.]

Weil du mich persönlich angreifst, antworte ich auch persönlich, selbst wenn du meine Antwort nicht magst.

Schau dir deine Frage an "Ist chkrootkit glaubwürdig oder soll ich drauf verzichten?".

Dann habe ich gefragt was genau dein Problem ist und du sagst: "Ich verstehe die Ausgabe nicht, ich weiss nicht wofür chkrootkit da ist und warum es die Meldungen ausgibt."

Letzteres hat demnach nichts mit Glaubwürdigkeit zu tun. Es sieht demnach mal so aus, als dass DU meine Nachfrage nicht verstanden hast.

a) chkrootkit ist "glaubwürdig" im Sinne von "Es sucht unter zu Hilfenahme seiner Möglichkeiten nach Anzeichen für potentielle Schwachstellen bzw. Hintertüren.". Es ist kein Programm dass dir sagt: "So ist es und nicht anders.". Das ist auch schon die Antwort auf deine Frage "Wofür ist es da?".

b) Wenn du die Ausgabe nicht verstehst, dann musst du das Handbuch lesen (wozu du anscheinend nicht im Stande bist).

Warum du dir dann das Recht herausnimmst, andere die dir bei deiner Weiterentwicklung behilflich sein wollen, so anzugreifen, weiss ich nicht. Mit guter Erziehung hat das aber wohl nichts zu tun.

 

[matzewe01]

Ich möchte nicht erst 3 Bücher kaufen und lesen. Ich weiß nicht was ihr so den ganzen Tag macht, aber ich habe dafür (leider) weder die Zeit noch die Lust.

Ich arbeite tags über, manchmal warte ich wie jetzt auf ein Release, dass ich hinterher auseinandernehme, danach gehe ich in den Feierabend, bereite Fachvortträge vor, Lese u.U. noch Sourcecode oder gar ein Buch.
Letzteres mache ich dann im Fitnesstudio auf dem Crosstrainer oder Rad.
Das entspannt und macht einen erstmal weniger empfindlich gegen unkonstruktive **** posts.

Aber ich denke Du hast den wesentlichen Fakt schon genannt, Dir fehlt die Lust.
Und Deine "Faulheit" untersützte ich , wie einige andere scheinbar auch, nicht gerne vor allem, nicht für umsonst.

Das Wissen haben sich die meisten hier hart erarbeitet. Und leider geht es nicht anders, als sich Wissen hart zu erarbeiten.

Aber bevor das nun in ein künstliches OT wird.
-> die Orelily Books kann man auch online lesen. Es gibt einen kostenlosen Trial Account, dort kann man sich ja dann erstmal das nötige besorgen.

 

[Trashi]

Persönlich angegriffen oder nicht. Ich mag es einfach nicht wenn man mir mit einer gewissen Grundarroganz begegnet. Ich reagiere da, meiner Meinung nach begründet, sehr empfindlich, was nicht heissen soll, dass ich behaupte das eure Ansichtsweisen falsch sind. Um Ben's These mal weiterzuspinnen, hätten nur die wenigsten hier aus dem Forum eine gute Erziehung genossen, denn ich glaube das die Kommunikation vorallem in diesem Forum ganz schön rabiat ist. Und ich bin weiß Gott nicht der Erste der das feststellt (Google spuckt wie ihr mit Sicherheit wisst diesbzgl. so einiges aus). Das soll nicht heissen, dass ich diesem Forum gegenüber abgeneigt bin - im Gegenteil (sonst hätte ich mich nie angemeldet bzw. schon längst wieder abgemeldet). Ich glaube nur das eine gegenseitige Rücksichtsnahme und Kompromissfindung unter den User wie z.B. in diesem Fall sehr förderlich wäre. Explizit _persönlich_ angegriffen werden möchte ich sowie alle anderen natürlich nicht. Das war auch garnicht mein Ziel, aber vielleicht sollten wir generell darüber nachdenken an unserem "Tonfall" zu arbeiten, ersteinmal völlig vom eigentlichen Thema abgesehen.

die Orelily Books kann man auch online lesen. Es gibt einen kostenlosen Trial Account, dort kann man sich ja dann erstmal das nötige besorgen.

Hab ich nach nochmaligem Schauen auch bemerkt. Naja jetzt ist es eh zu spät, war heute früh in der Uni-Bibliothek und habe mir entsprechende Lektüre ausgeliehen.

 

[Ben.]

Persönlich angegriffen oder nicht. Ich mag es einfach nicht wenn man mir mit einer gewissen Grundarroganz begegnet. Ich reagiere da, meiner Meinung nach begründet, sehr empfindlich, was nicht heissen soll, dass ich behaupte das eure Ansichtsweisen falsch sind.

Ich lese aus keinem meiner Antworten hier eine Arroganz heraus. Wäre nett wenn du mir das verdeutlichen würdest.

Um Ben's These mal weiterzuspinnen, hätten nur die wenigsten hier aus dem Forum eine gute Erziehung genossen, denn ich glaube das die Kommunikation vorallem in diesem Forum ganz schön rabiat ist.

Das sind DEINE Worte. Ich habe keine These aufgestellt, ich habe dich lediglich wissen lassen, welchen Eindruck du auf mich machst.

 

[Trashi]

Naja, dann wissen wir ja jetzt wenigsten was wir voneinander halten. Ich möchte das jetzt nur ungern weiter ausführen, da es mehr als Off Topic ist. Und da es sehr unwahrscheinlich ist, dass wir mal zusammen Schweine hüten werden, ist es wohl das beste halbwegs friedlich außeinander zu gehen. Ich denke wir haben alle in diesem Thread genug Zeit geopfert (ich persönlich sehe es größtenteils als Zeitverschwendung).
Wiegesagt, ich war in der Bibo und werde keine weitere Hilfe über das Forum diesbzgl. in Anspruch nehmen.

 

[Thorsten]

Hallo Trashi!
Ich kann deiner Theorie, dieses Forum würde gewissen Fragestellern vor den Kopf stoßen bzw. einem vorherrschenden Rauem Ton nicht folgen.

Als größtes Problem sehe ich bei deiner Fragestellung, dass eigentlich überhaupt keine konkrete Frage gestellt wird. Weiterhin frage ich mich, ob die Befehle, deren Ausgaben du hier zur Diskussion / Klärung stellst, wirklich von dir selbst mit der Absicht einer konkreten Sicherheitsanalyse abgesetzt wurden, oder (so jedenfalls meine Vermutung) aus dritter Quelle stammen.

Anders gefragt: Warum setzt du beispielweise ein root@server:/usr/sbin# chkrootkit -x lkm ab und welche Ergebnisse hättest du erwartet?

mfG
Thorsten

 

[matzewe01]

Hallo.

Nebenher spuckt er noch gefühlte 300x "nothing" oder "not found"'s aus.
Da mir das ganz schön spanisch vorkommt, die Frage an euch: ist chkrootkit in meinem Fall wirklich glaubenwürdig oder sollte ich besser darauf verzichten?

Um die "Fragen" von Trashi zu beantworten:

Not Found heisst einfach nur, er hat es nicht gefunden.
Und das wiederum ist ja nichts schlechtes.
Diese Meldung bekommt man recht häufig.

Checking `lkm'... You have 24 process hidden for readdir command
chkproc: Warning: Possible LKM Trojan installed

Das Warning darf man ad hoc nicht ignorieren.
Vermutlich eine "falschmeldung" aber das kann man ja anhand des Fingerpint der Datei mit dem der "RPMs"vergleichen.

Wie kommt es zu den "falsch Meldungen".
Auch chkrootkit arbeitet wie viele andere Scanner mit Signaturen.
Das heisst, dass hier eine Art Patternamtching geschieht. Es werden Inhalt der Datei verglichen. Kommt es hierbei zu einem Treffer, wird eine entsprechende Meldung ausgegeben.
Nun nutzen aber ganz reguläre Projekte und Binaries manchmal auch die gleiche Technik wie manche Trojaner. Das ist ja durchaus legitim führt aber halt zu solchen schwierigkeiten beim Erkennen.
Richtiger gesagt, mancher Trojaner verwendet halt auch gerne mal altbewährte Techniken der Datenübertragung.