bolug bonner linux user group
news about wissen files archive hilfe suchen  

 

archive :: SchAN-User

druckfassung

SchAN-User

Re: [Schan-user] bindshell infected

To: schan-user@xxxxxxxxxxxxxxxxx
Subject: Re: [Schan-user] bindshell infected
From: hhullen@xxxxxxxxxxxx (Helmut Hullen)
Date: 03 Oct 2012 14:48:00 +0200
Hallo, Günter,

Du meintest am 03.10.12:

> nach 1 Jahr problemlosen Betriebs zeigt mein arktur heute im
> chkrootkit.log folgendes:

> Checking `write'... not infected
> Checking `asp'... not infected
> Checking `bindshell'... INFECTED (PORTS:  6667)
> Checking `w55808'... not infected
> Checking `scalper'... not infected

> Was bedeutet die dritte Zeile (Virus..?), muss ich mir Sorgen machen
> (sonst läuft alles normal) und vor allem: was kann/muss ich tun?

Aus der Erinnerung: Du benutzt Arktur 4. Da dürfte eine inzwischen stark  
veraltete Version von "chkrootkit" laufen; aktuell ist eine Version von  
2009 (oder noch neuer). Aber das dürfte nicht das Hauptproblem sein.

"chkrootkit" ist manchmal sehr sensibel; es lohnt sich, das Programm  
mehrfach nacheinander laufen zu lassen und die "infected"-Meldungen nur  
dann zu berücksichtigen, wenn sie immer wieder gemeldet werden.

        chkrootkit | grep bindshell

sollte nach etwa 2 Minuten melden, ob dieses Programm immer noch als  
"infected" verdächtigt wird.

Wenn ja:

        which bindshell

sollte anzeigen, ob und wo dieses Programm liegt (bei Arktur 5 ist es  
nicht installiert),

        grep bin/bindshell /var/log/packages/*

sollte anzeigen, in welchem Paket dieses Programm liegt.

Dieses Paket müsste notfalls von der Installations-CD drüberinstalliert  
werden.

-----------------------------------------------

Kann auch sein, dass sich ein Virus eingeschmuggelt hat:

   http://www.doshelp.com/Ports/6667.htm

Dafür spricht u.a., dass die Meldung "aus heiterem Himmel" erscheint.

Viele Gruesse!
Helmut

_______________________________________________
schan-user mailing list
schan-user@xxxxxxxxxxxxxxxxx
http://www.heise.de/bin/newsletter/listinfo/schan-user

 

seitenanfang


 

news about wissen files archive hilfe suchen  
kontakt letzte änderung: 03.10.2012