Rkhunter mailt, obwohl alles okay ist

[siradlib]

Hallo zusammen,
Folgendes Szenario: frisch installierter vServer mit Plesk, auf dem täglich nachts rkhunter läuft.
Laut Logfile ist alles okay (0 Warnings)
Trotzdem bekomme ich jede Nacht eine eMail mit "Please inspect your machine...".
Was kann das sein?

Logfile von heute Nacht (Auszug):

[01:00:12] Running Rootkit Hunter version 1.3.4 on xxxxxxxx
[01:00:12]
[01:00:12] Info: Start date is Di 15. Feb 01:00:12 CET 2011
[01:00:12]
[01:00:12] Checking configuration file and command-line options...
[01:00:12] Info: Detected operating system is 'Linux'
[01:00:12] Info: Found O/S name: CentOS release 5.5 (Final)
[01:00:12] Info: Command line is /usr/local/psa/admin/sbin/modules//watchdog/rkhunter -c --configfile /usr/local/psa/etc/modules/watchdog/rkhunter.conf --cronjob --propupd --createlogfile
[01:00:13] Info: Environment shell is /bin/sh; rkhunter is using bash
[01:00:13] Info: Using configuration file '/usr/local/psa/etc/modules/watchdog/rkhunter.conf'
[...]

[01:03:35] System checks summary
[01:03:35] =====================
[01:03:35]
[01:03:35] File properties checks...
[01:03:35] Files checked: 125
[01:03:35] Suspect files: 0
[01:03:35]
[01:03:35] Rootkit checks...
[01:03:35] Rootkits checked : 113
[01:03:35] Possible rootkits: 0
[01:03:35]
[01:03:35] Applications checks...
[01:03:35] Applications checked: 8
[01:03:36] Suspect applications: 0
[...]

 

[wstuermer]

Ohne die Mail zu kennen würde ich sagen, dass das nur die Bestätigung vom rkhunter - oder dessen Cronjob - ist, dass der Job ausgeführt wurde.

 

[siradlib]

Hallo,

Danke für Deine Antwort. Ich kenne rkhunter zumindest unter Plesk 9.x so, dass es nur Mails verschickt, wenn es ein Problem gibt.
Die Mail, die ich heute Nacht bekommen habe, sieht so aus:

Datum: Tue, 15 Feb 2011 01:03h
Von: root@xxxxxxxxxx (root)
An: [email protected]
Betreff: [rkhunter] Warnings found for xxxxxxxx


Please inspect this machine, because it may be infected.

 

[wstuermer]

Na dann wird doch irgendwas gematcht haben
Schau nochmal das gesamte Logfile durch und ggfls. auch mal in die verwendete Config.

 

[siradlib]

Na dann wird doch irgendwas gematcht haben

Bingo!
tcpdump (bzw. die libpcap) hatte in der /etc/passwd den User "pcap" hinzugefügt. Ich bin gespannt, ob heute Nacht dann endlich Ruhe ist.
Und ja, ich habe tcpdump selbst gestartet!