Trashi
New Member
Hallo.
Ich habe einen vServer bei Server4you welcher gestern abend neu aufgespielt wurde. Alle Updates sind drauf und viele Prozesse laufen auch nicht:
Da ich den vserver so langsam im Betrieb nehmen möchte, installiere ich gerade noch einiges an Sicherheitssoftware. Unter anderem eben auch chkrootkit. Ich hab das mal durchlaufen lassen und das Ergebniss ist für so ein frisches System meiner Meinung nach ziemlich utopisch und unrealistisch. Ich erwähne mal alles wichtige:
Nebenher spuckt er noch gefühlte 300x "nothing" oder "not found"'s aus.
Da mir das ganz schön spanisch vorkommt, die Frage an euch: ist chkrootkit in meinem Fall wirklich glaubenwürdig oder sollte ich besser darauf verzichten?
Ich habe einen vServer bei Server4you welcher gestern abend neu aufgespielt wurde. Alle Updates sind drauf und viele Prozesse laufen auch nicht:
Code:
root@server:/usr/sbin# pstree -u
init─┬─apache2───5*[apache2(www-data)]
├─cron
├─exim4(Debian-exim)
├─munin-node(munin)
├─mysqld_safe─┬─logger
│ └─mysqld(mysql)───2*[{mysqld}]
├─sshd───sshd───bash───pstree
├─syslogd
└─xinetd
Da ich den vserver so langsam im Betrieb nehmen möchte, installiere ich gerade noch einiges an Sicherheitssoftware. Unter anderem eben auch chkrootkit. Ich hab das mal durchlaufen lassen und das Ergebniss ist für so ein frisches System meiner Meinung nach ziemlich utopisch und unrealistisch. Ich erwähne mal alles wichtige:
Code:
Searching for suspicious files and dirs, it may take a while... /lib/init/rw/.ramfs (hier kommt nie ne antwort mit rum
Code:
Checking `lkm'... You have 24 process hidden for readdir command
chkproc: Warning: Possible LKM Trojan installed
Code:
root@server:/usr/sbin# chkrootkit -x lkm
ROOTDIR is `/'
###
### Output of: ./chkproc -v -v -p 3
###
PID 2704(/proc/2704): not in getpriority readdir output
PID 2908(/proc/2908): not in getpriority readdir output
PID 2923(/proc/2923): not in getpriority readdir output
PID 10838(/proc/10838): not in getpriority readdir output
PID 12486(/proc/12486): not in getpriority readdir output
PID 12503(/proc/12503): not in getpriority readdir output
PID 12591(/proc/12591): not in getpriority readdir output
PID 12647(/proc/12647): not in getpriority readdir output
PID 12653(/proc/12653): not in getpriority readdir output
PID 12654(/proc/12654): not in getpriority readdir output
PID 12660(/proc/12660): not in getpriority readdir output
PID 13256(/proc/13256): not in getpriority readdir output
PID 13296(/proc/13296): not in getpriority readdir output
PID 13678(/proc/13678): not in getpriority readdir output
PID 13684(/proc/13684): not in getpriority readdir output
PID 14379(/proc/14379): not in getpriority readdir output
PID 14403(/proc/14403): not in getpriority readdir output
PID 14474(/proc/14474): not in getpriority readdir output
PID 14475(/proc/14475): not in getpriority readdir output
PID 26759(/proc/26759): not in getpriority readdir output
PID 26801(/proc/26801): not in getpriority readdir output
PID 27099(/proc/27099): not in getpriority readdir output
PID 27611(/proc/27611): not in getpriority readdir output
PID 28796(/proc/28796): not in getpriority readdir output
You have 24 process hidden for readdir command
Code:
Checking `sniffer'... lo: not promisc and no packet sniffer sockets
venet0: not promisc and no packet sniffer sockets
venet0:0: not promisc and no packet sniffer sockets
Code:
Checking `wted'... unable to open wtmp-file wtmp
Code:
Checking `z2'...not tested: not found wtmp and/or lastlog file
Nebenher spuckt er noch gefühlte 300x "nothing" oder "not found"'s aus.
Da mir das ganz schön spanisch vorkommt, die Frage an euch: ist chkrootkit in meinem Fall wirklich glaubenwürdig oder sollte ich besser darauf verzichten?