chkrootkit: Checking `bindshell'... INFECTED (PORTS: 465)
Miroslav Suchy
miroslav na suchy.cz
Pátek Září 12 15:16:59 CEST 2003
Dobry den,
na doporuceni kamarada jsem vyzkousel chkrootkit a ten my vypsal tuto
hlasku:
Checking `bindshell'... INFECTED (PORTS: 465)
kdyz jsem na tom portu bezi ssmtp sluzba, konkretne xinetd s
nasledujicim nastavenim:
service ssmtp
{
socket_type = stream
protocol = tcp
wait = no
user = root
server = /usr/sbin/sslwrap
server_args = -cert /etc/sslwrap/server.pem -port 25
}
pokud to zakomentuji a restartnu xinetd, tak chkrootkit nic nenajde.
lsof IMHO nevypisovalo tak nic divneho:
# lsof -i tcp:465
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
xinetd 30267 root 11u IPv4 47969527 TCP *:ssmtp (LISTEN)
tak jsem se podival jak dela chkrootkit ten test, tohle by mel spoustet
chkrootkit
PI=""
if netstat -an | egrep "^tcp.*LIST|^udp" | egrep "[^0-9.]465[^0-9.]"
>/dev/null 2>&1; then
PI="${PI} 465";
fi
pousti to for cyklu pro seznam, asi podezrelych, portu - 465 je mezi nimi.
Pokud je nakonci PI neprazdne, tak hlasi ty porty jako infikovane
bindshellem
Pokud to dobre ctu, tak pouze testuje, zda je ten port otevreny. Je neco
spatneho na tom kdyz je otevreny ssmtp port?
Nebo mi neco unika, a ta podminka dela neco jineho?
Diky za odpoved.
Mirek
P.S. zkusil jsem i cvicne reinstalovat sslwrap, ale nic se nezmenilo. Jo
a jeste, tan sslwrap je nainstalovan i na jinem portu, pro jinou sluzbu.
Takze se mi moc nezda, ze by byl napriklad misto sslwrapu postrcena jina
binarka.
Další informace o konferenci Linux