vServer unter Vollast

[SvenH]

bei meinem vServer habe ich das gleiche Ergebnis:
Checking `lkm'... You have 2 process hidden for ps command
Warning: Possible LKM Trojan installed

Kann es evtl. sein..das es Standard ist?

Gruß

 

[society]

Klar kann schon sein das SSF gepatchte versionen benutzt.. also bei meine suse9 vserver ist alles in Ordnung

 

[Thorsten]

Ist der häufigste false positive bei chkrootkit.

mfG
Thorsten

 

[mezzanine]

nein, einen Scriptfehler kann ich glaube ich ausschliessen. aber ich habe für einen nutzer den 'Safe mode' von php in der Apache Config ausgeschalten. Das werde ich bestimmt nicht wieder tun. Die Hacktools liegen immer entweder im /tmp im /var/tmp oder im /var/tmp/web9/html/images/ <-- für diesen war der Safe_mode off.

Wo bekomme ich denn 'ps' und 'bind' her um diese mal durch "echte" Versionen auszutauschen bzw. wie mach ich das?

 

[society]

Einfach die RPM files im Internet herunterladen.... gibt diverse Mirrors für Distributionen...

 

[SvenH]

evtl. hilft das ja:

Info

 

[miko93]

Würde es eigentlich generell Sinn machen, den Chkrootkit turnusmäßig per cron aufzurufen (Ausgabe dann per mail an root) ?

 

[society]

Ja, bei mir läuft er jeden tag..,

Crontab:
-05 00 * * * (cd /PATH/TO/chkrootkit-0.44; ./chkrootkit 2>&1 | mail -s "Daily chkrootkit check" YOUR@EMAIL.TLD)

 

[Huschi]

Würde es eigentlich generell Sinn machen, den Chkrootkit turnusmäßig per cron aufzurufen (Ausgabe dann per mail an root) ?

Im gewissen Sinne schon. Nur mußt Du bedenkten, daß dies bei einem Einbruch auch entdeckt und verändert werden kann.

Sinnvoller und sicherer ist der Einsatz eines Host-IDS wie Tripwire.

huschi.

 

[Hamodi]

Infected

HELP
Checking `bindshell'... INFECTED (PORTS: 465)

Was mache ich nu???

 

[society]

Gegebenfalls nochmal zu Sicherheit nen andere Programm zum checken nehmen, und dann Neuinstallieren... kommst nicht drum rum...

 

[Leko]

Ja, bei mir läuft er jeden tag..,

Crontab:
-05 00 * * * (cd /PATH/TO/chkrootkit-0.44; ./chkrootkit 2>&1 | mail -s "Daily chkrootkit check" YOUR@EMAIL.TLD)

kannst du mir mal schnell die wesentlichen dinge dieses cronjobs erklären?`
also so das ich dies auch übernehmen kann?!

Wäre dir sehr dankbar!

Andi

 

[Thorsten]

Hallo Andi,
der macht eigentlich nichts weiter als das chkrootkit täglich um 00:05 auszuführen und die Ausgabe per E-Mail an YOUR@EMAIL.TLD zu schicken.

mfG
Thorsten

 

[Leko]

also dann könnt ich praktisch mit anpassungen an den pfad und email etc. dieses eintrag für meine crontabelle (auch mit den ***) übernehmen?


hab so einen eintrag in die crontab noch nie gesehen, darum frag ich n bissel nach

Andi