derschakal83
Registered User
Hallo,
ich habe - um meinen VServer noch etwas besser abzusichern - OSSEC installiert. Das funktioniert auch ganz wunderbar.
Ich erhalte allerdings immer mal wieder die E-Mail mit folgendem Inhalt:
OSSEC HIDS Notification.
2009 May 22 19:37:45
Received From: h123456->rootcheck
Rule: 510 fired (level 7) -> "Host-based anomaly detection event (rootcheck)."
Portion of the log(s):
Process '<Zahlenfolge>' hidden from /proc. Possible kernel level rootkit.
--END OF NOTIFICATION
Ich gehe mal stark davon aus, das hängt damit zusammen das es sich um einen virtuellen Server handelt. Hat jemand dasselbe Problem und weiß, wie man es beheben kann? Oder muss ich die Rootkit-Überwachung evtl. ganz abschalten..?
Diese Meldung hier find ich übrigens auch nett, kam auch mal mit den Mails ;-)
Excessive number of hidden processes. It maybe a false-positive or something really bad is going on.
Vielen Dank!
Gruß Tobias
ich habe - um meinen VServer noch etwas besser abzusichern - OSSEC installiert. Das funktioniert auch ganz wunderbar.
Ich erhalte allerdings immer mal wieder die E-Mail mit folgendem Inhalt:
OSSEC HIDS Notification.
2009 May 22 19:37:45
Received From: h123456->rootcheck
Rule: 510 fired (level 7) -> "Host-based anomaly detection event (rootcheck)."
Portion of the log(s):
Process '<Zahlenfolge>' hidden from /proc. Possible kernel level rootkit.
--END OF NOTIFICATION
Ich gehe mal stark davon aus, das hängt damit zusammen das es sich um einen virtuellen Server handelt. Hat jemand dasselbe Problem und weiß, wie man es beheben kann? Oder muss ich die Rootkit-Überwachung evtl. ganz abschalten..?
Diese Meldung hier find ich übrigens auch nett, kam auch mal mit den Mails ;-)
Excessive number of hidden processes. It maybe a false-positive or something really bad is going on.
Vielen Dank!
Gruß Tobias
ein, die ignoriert werden sollen. Die gewünschte Nummer findet man dann entweder in den Status E-Mails, oder unter /var/ossec/rules/ENTSPRECHENDE-DATEI.xml