chkrootkit findet LKM, bedrohlich?

#1
Moin!

chkrootkit findet seit gestern LKM als Trojaner.
Der Grundtenor der bei google gefundenen Postings bzgl. LKM ist, dass es sich um kein Linux Kernel Modul handelt und von chkrootkit in Verbindung mit dem 2.6er Kernel fälschlicherweise (false positive) als Bedrohung angesehen wird.

Der Server wurde nach dem HowTo Perfec Server Lenny zusammengebastelt...

Jedoch stimmt es mich etwas missmutig dies zu glauben, denn chkrootkit läuft seit 4 Tagen mit folgendem Feedback:
The following suspicious files and directories were found:
/lib/init/rw/.mdadm /lib/init/rw/.ramfs
/lib/init/rw/.mdadm
Und seit gestern schaut es so aus:
The following suspicious files and directories were found:
/lib/init/rw/.mdadm /lib/init/rw/.ramfs
/lib/init/rw/.mdadm
You have 1 process hidden for readdir command
You have 2 process hidden for ps command
chkproc: Warning: Possible LKM Trojan installed
so sieht der Output von "chkrootkit -x lkm" aus:
ROOTDIR is `/'
###
### Output of: ./chkproc -v -v -p 3
###
CWD 1958: /var/lib/mysql
EXE 1958: /usr/sbin/mysqld
CWD 3305: /
EXE 3305: /usr/bin/python2.5
CWD 3308: /
EXE 3308: /usr/bin/python2.5
CWD 6204: /var/lib/mysql
EXE 6204: /usr/sbin/mysqld
CWD 6290: /
EXE 6290: /usr/sbin/rsyslogd
CWD 6291: /
EXE 6291: /usr/sbin/rsyslogd
CWD 6591: /var/lib/mysql
EXE 6591: /usr/sbin/mysqld
CWD 6712: /var/lib/mysql
EXE 6712: /usr/sbin/mysqld
CWD 9802: /var/lib/mysql
EXE 9802: /usr/sbin/mysqld
CWD 9959: /
EXE 9959: /usr/sbin/rsyslogd
CWD 10169: /var/lib/mysql
EXE 10169: /usr/sbin/mysqld
CWD 10630: /var/lib/mysql
EXE 10630: /usr/sbin/mysqld
CWD 10679: /var/lib/mysql
EXE 10679: /usr/sbin/mysqld
CWD 17451: /var/lib/mysql
EXE 17451: /usr/sbin/mysqld
CWD 22350: /var/lib/mysql
EXE 22350: /usr/sbin/mysqld
CWD 25524: /var/lib/mysql
EXE 25524: /usr/sbin/mysqld
CWD 25525: /var/lib/mysql
EXE 25525: /usr/sbin/mysqld
CWD 25526: /var/lib/mysql
EXE 25526: /usr/sbin/mysqld
CWD 25527: /var/lib/mysql
EXE 25527: /usr/sbin/mysqld
CWD 25529: /var/lib/mysql
EXE 25529: /usr/sbin/mysqld
CWD 25530: /var/lib/mysql
EXE 25530: /usr/sbin/mysqld
CWD 25531: /var/lib/mysql
EXE 25531: /usr/sbin/mysqld
CWD 25532: /var/lib/mysql
EXE 25532: /usr/sbin/mysqld
rkhunter meldet nichts ungewöhnliches...

http://www.howtoforge.com/forums/showthread.php?t=7478
Hier steht ein ähnliches Problem doch bei mir laufen die beiden Tools nicht zur selben Zeit.
 
Zuletzt bearbeitet:

Till

Administrator
#2
Also chkrootkit hat manchmal false positives, ich denke dass rkhunter da etwas zuverlässiger ist. solange rkhunter nichts zu meckern hat, würde ich das ganze nicht überbewerten. Am besten den Server und vor allem den Traffic und die Last mal im Auge behalten.
 

Werbung

Top