chkrootkit: Checking `bindshell'... INFECTED (PORTS: 465)

Miroslav Suchy miroslav na suchy.cz
Pátek Září 12 15:16:59 CEST 2003


Dobry den,
na doporuceni kamarada jsem vyzkousel chkrootkit a ten my vypsal tuto 
hlasku:
Checking `bindshell'... INFECTED (PORTS:  465)
kdyz jsem na tom portu bezi ssmtp sluzba, konkretne xinetd s 
nasledujicim nastavenim:
service ssmtp
{
        socket_type     = stream
        protocol        = tcp
        wait            = no
        user            = root
        server          = /usr/sbin/sslwrap
        server_args     = -cert /etc/sslwrap/server.pem -port 25
}
pokud to zakomentuji a restartnu xinetd, tak chkrootkit nic nenajde.
lsof IMHO nevypisovalo tak nic divneho:
# lsof -i tcp:465
COMMAND   PID USER   FD   TYPE   DEVICE SIZE NODE NAME
xinetd  30267 root   11u  IPv4 47969527       TCP *:ssmtp (LISTEN)

tak jsem se podival jak dela chkrootkit ten test, tohle by mel spoustet 
chkrootkit
PI=""
if netstat -an | egrep "^tcp.*LIST|^udp" | egrep "[^0-9.]465[^0-9.]" 
 >/dev/null 2>&1; then
    PI="${PI} 465";
fi
pousti to for cyklu pro seznam, asi podezrelych, portu - 465 je mezi nimi.
Pokud je nakonci PI neprazdne, tak hlasi ty porty jako infikovane 
bindshellem
Pokud to dobre ctu, tak pouze testuje, zda je ten port otevreny. Je neco 
spatneho na tom kdyz je otevreny ssmtp port?
Nebo mi neco unika, a ta podminka dela neco jineho?

Diky za odpoved.

Mirek

P.S. zkusil jsem i cvicne reinstalovat sslwrap, ale nic se nezmenilo. Jo 
a jeste, tan sslwrap je nainstalovan i na jinem portu, pro jinou sluzbu. 
Takze se mi moc nezda, ze by byl napriklad misto sslwrapu postrcena jina 
binarka.




Další informace o konferenci Linux