karmesterSzintén kezdőként a topicban olvasottakon felbuzdulva fel is nyaltam chkrootkit-et és az rkhuntert. Előbbi kapásból meg is lepett:
"(...)
Searching for anomalies in shell history files... nothing found
Checking `asp'... not infected
Checking `bindshell'... INFECTED (PORTS: 6667)
Checking `lkm'... chkproc: nothing detected
chkdirs: nothing detected
Checking `rexedcs'... not found
Checking `sniffer'... lo: not promisc and no packet sniffer sockets
eth1: PACKET SNIFFER(/sbin/dhclient3[6119])
Checking `w55808'... not infected
Checking `wted'... chkwtmp: nothing deleted
Checking `scalper'... not infected
Checking `slapper'... not infected
(...)"
rkhunter is tartogat nyomozni valót, ime:
"(...)
[23:36:15] /sbin/chkconfig [ Warning ]
[23:36:16] Warning: The command '/sbin/chkconfig' has been replaced by a script: /sbin/chkconfig: a /usr/bin/perl script text executable
(...)
[23:36:19] /usr/sbin/unhide [ Warning ]
[23:36:19] Warning: The file '/usr/sbin/unhide' exists on the system, but it is not present in the rkhunter.dat file.
(...)
[23:36:20] /usr/sbin/unhide-linux26 [ Warning ]
[23:36:20] Warning: The file '/usr/sbin/unhide-linux26' exists on the system, but it is not present in the rkhunter.dat file.
(...)"
Ismert rootkit-et nem talált egyik sem. A két nyitott port a vadvizek felé zárt, router mögött csücsülök, ellenőriztem őket. Minden estre érdekelne, hogy ez normális-e? (Mármint nem a router mögötti élet :)
Az rkhunter '/usr/sbin/unhide' WARNING-ját megkerestem. A nevezett file hivatkozás a '/etc/alternatives/unhide'-ra, ami szintén link, célja a '/usr/sbin/unhide-linux26'. Ez utóbbi egy bináris, mérete 623440 bájt. Van még itt mellette a logban nem szereplő unhide-posix és unhide-tcp binárisok. Az összes felsorolt fájl ugyan abban az időpontban keletkezett (08.06.22 05:09:24), mindegyik futtatható, kivéve a '/usr/sbin/unhide-linux26', amire a WARNING figyelmeztet két linken keresztül. Másnál is megvannak ezek az állományok? Jelenthet-e bármi veszélyt, vagy csak az rkhunter fájlistája lyukas? Mert ugye csak az mondja, hogy létezik, de szerinte nem kellene...
8.10-es 64 bites Ubim van, nem frissítettem Hardyról, 100% szűzen lett anno feltelepítve, a vinyót a megjelenés napján bontottam ki a zacsiból :)
Előre is köszönöm!
Update: Közben megtaláltam:
unhide detects hidden processes using three techniques:
- comparing the output of /proc and /bin/ps
- comparing the information gathered from /bin/ps with the one gathered
from system calls (syscall scanning)
- full scan of the process ID space (PIDs bruteforcing)
Az a szép, hogy az rkhunter-hez köthető a cucc :)