|
|
 | Chkrootkit - infected
Fra : Martin Johansen [600~ |
Dato : 05-04-04 23:00 |
|
HEjsa!
Har lige opdaget følgende..:
Checking `bindshell'... INFECTED (PORTS: 600)
... ved kørsel af chkrootkit på min desktop.
Hvad betyder dette og hvad burde jeg gøre?
--
Martin Johansen [6000]
http://tuxx.dk - "Carpe Aptenodytes!"
Mandrake Linux 9.2 med Fluxbox 0.9.6devel
Registered Linux User # 301406 ( http://counter.li.org)
| |
 Martin Johansen [600~ (05-04-2004)
| Kommentar
Fra : Martin Johansen [600~ |
Dato : 05-04-04 23:02 |
|
On Mon, 05 Apr 2004 23:59:32 +0200, Martin Johansen [6000] wrote:
> HEjsa!
>
> Har lige opdaget følgende..:
>
> Checking `bindshell'... INFECTED (PORTS: 600)
>
> .. ved kørsel af chkrootkit på min desktop.
>
> Hvad betyder dette og hvad burde jeg gøre?
Tilføjelse...:
# lsof -i :600
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
rpc.statd 1266 root 6u IPv4 3303 TCP *:600 (LISTEN)
--
Martin Johansen [6000]
http://tuxx.dk - "Carpe Aptenodytes!"
Mandrake Linux 9.2 med Fluxbox 0.9.6devel
Registered Linux User # 301406 ( http://counter.li.org)
| |
Alex Holst (06-04-2004)
| Kommentar
Fra : Alex Holst |
Dato : 06-04-04 01:50 |
|
Martin Johansen [6000] wrote:
> Har lige opdaget følgende..:
>
> Checking `bindshell'... INFECTED (PORTS: 600)
>
> .. ved kørsel af chkrootkit på min desktop.
>
> Hvad betyder dette og hvad burde jeg gøre?
Nogen har kontrol over din maskine.
http://sikkerhed-faq.dk/servere#indbrud
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org
| |
Stig Johansen (06-04-2004)
| Kommentar
Fra : Stig Johansen |
Dato : 06-04-04 06:27 |
|
Alex Holst wrote:
>>
>> Hvad betyder dette og hvad burde jeg gøre?
>
> Nogen har kontrol over din maskine.
Tror du ikke nærmere, der er tale om et false positive:
# cat /etc/services |grep 600/
ipcserver 600/tcp # Sun IPC server
ipcserver 600/udp # Sun IPC server
Vi bliver nok nødt til at vide om der er tale om en 'SUN' æske.
--
Med venlig hilsen
Stig Johansen
| |
 Martin Johansen [600~ (06-04-2004)
| Kommentar
Fra : Martin Johansen [600~ |
Dato : 06-04-04 06:35 |
|
On Tue, 06 Apr 2004 07:27:19 +0200, Stig Johansen wrote:
> Vi bliver nok nødt til at vide om der er tale om en 'SUN' æske.
Det er der ikke (se min .sig).
--
Martin Johansen [6000]
http://tuxx.dk - "Carpe Aptenodytes!"
Mandrake Linux 9.2 med Fluxbox 0.9.6devel
Registered Linux User # 301406 ( http://counter.li.org)
| |
Stig Johansen (07-04-2004)
| Kommentar
Fra : Stig Johansen |
Dato : 07-04-04 05:40 |
|
Martin Johansen [6000] wrote:
> On Tue, 06 Apr 2004 07:27:19 +0200, Stig Johansen wrote:
>
>> Vi bliver nok nødt til at vide om der er tale om en 'SUN' æske.
>
> Det er der ikke (se min .sig).
Ok, det overså jeg - jeg læser generelt ikke .sig's.
--
Med venlig hilsen
Stig Johansen
| |
Martin Johansen [600~ (07-04-2004)
| Kommentar
Fra : Martin Johansen [600~ |
Dato : 07-04-04 21:39 |
|
On Wed, 07 Apr 2004 06:39:30 +0200, Stig Johansen wrote:
> Martin Johansen [6000] wrote:
>
>> On Tue, 06 Apr 2004 07:27:19 +0200, Stig Johansen wrote:
>>
>>> Vi bliver nok nødt til at vide om der er tale om en 'SUN' æske.
>>
>> Det er der ikke (se min .sig).
>
> Ok, det overså jeg - jeg læser generelt ikke .sig's.
Okay my bad - jeg kan ikke lade være med, at læse dem nemlig 
--
Martin Johansen [6000]
http://tuxx.dk - "Carpe Aptenodytes!"
Mandrake Linux 9.2 med Fluxbox 0.9.6devel
Registered Linux User # 301406 ( http://counter.li.org)
| |
Kasper Dupont (08-04-2004)
| Kommentar
Fra : Kasper Dupont |
Dato : 08-04-04 05:54 |
|
"Martin Johansen [6000]" wrote:
>
> jeg kan ikke lade være med, at læse dem nemlig
Mon ikke det går over.
--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */
| |
Martin Johansen [600~ (08-04-2004)
| Kommentar
Fra : Martin Johansen [600~ |
Dato : 08-04-04 16:40 |
|
On Thu, 08 Apr 2004 06:53:40 +0200, Kasper Dupont wrote:
> "Martin Johansen [6000]" wrote:
>>
>> jeg kan ikke lade være med, at læse dem nemlig
>
> Mon ikke det går over.
Nja, det har stået på i ~10 år nu, så jeg tvivler
--
Martin Johansen [6000]
http://tuxx.dk - "Carpe Aptenodytes!"
Mandrake Linux 9.2 med Fluxbox 0.9.6devel
Registered Linux User # 301406 ( http://counter.li.org)
| |
Henrik Bøgh (07-04-2004)
| Kommentar
Fra : Henrik Bøgh |
Dato : 07-04-04 08:13 |
|
Martin Johansen [6000] wrote in dk.edb.sikkerhed:
[...]
> Det er der ikke (se min .sig).
Du kan som udgangspunkt ikke forlade dig på at folk læser din signatur og
bør ikke have informationer i din signatur der har relevans for dit indlæg.
Nogle folk har deres nyhedsgrupper til at vise signaturer på mere diskret
vis - andre (som mig) har deres nyhedsgruppelæser til slet ikke at vise dem
(min viser dog signaturen ved besvarelse af indlæg).
Se i øvrigt http://www.usenet.dk/netikette/signatur.html for mere info om
signaturer :)
> Martin Johansen [6000]
FUT: dk.admin.netikette
--
Med Venlig Hilsen: Henrik Bøgh || http://55.5cm.dk/geek/usenet.html
"One woman's Titanic is another woman's Love Boat"
-- Sarah Jessica Parker as Carrie Bradshaw in 'Sex & the City'
| |
Martin Johansen [600~ (06-04-2004)
| Kommentar
Fra : Martin Johansen [600~ |
Dato : 06-04-04 06:36 |
|
On Tue, 06 Apr 2004 02:49:31 +0200, Alex Holst wrote:
> Nogen har kontrol over din maskine.
>
> http://sikkerhed-faq.dk/servere#indbrud
Og så måske alligevel ikke..? Det er nemlig forsvundet efter en genstart
og efter en lidt mere omfattende søgning på Google er der mange, som har
oplevet det samme som jeg hvor der ikke er tale om indbrud.
Mystisk.
--
Martin Johansen [6000]
http://tuxx.dk - "Carpe Aptenodytes!"
Mandrake Linux 9.2 med Fluxbox 0.9.6devel
Registered Linux User # 301406 ( http://counter.li.org)
| |
Kasper Dupont (06-04-2004)
| Kommentar
Fra : Kasper Dupont |
Dato : 06-04-04 17:52 |
|
"Martin Johansen [6000]" wrote:
>
> Og så måske alligevel ikke..? Det er nemlig forsvundet efter en genstart
> og efter en lidt mere omfattende søgning på Google er der mange, som har
> oplevet det samme som jeg hvor der ikke er tale om indbrud.
Jeg ville ikke føle mig sikker før jeg kendte årsagen.
--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */
| |
Martin Johansen [600~ (07-04-2004)
| Kommentar
Fra : Martin Johansen [600~ |
Dato : 07-04-04 21:39 |
|
On Tue, 06 Apr 2004 18:51:48 +0200, Kasper Dupont wrote:
> "Martin Johansen [6000]" wrote:
>>
>> Og så måske alligevel ikke..? Det er nemlig forsvundet efter en
>> genstart og efter en lidt mere omfattende søgning på Google er der
>> mange, som har oplevet det samme som jeg hvor der ikke er tale om
>> indbrud.
>
> Jeg ville ikke føle mig sikker før jeg kendte årsagen.
Jeg er heller ikke sikker... den er nemlig kommet igen! :-/
Men Google er tavs som graven og jeg har minus forstand på det..
--
Martin Johansen [6000]
http://tuxx.dk - "Carpe Aptenodytes!"
Mandrake Linux 9.2 med Fluxbox 0.9.6devel
Registered Linux User # 301406 ( http://counter.li.org)
| |
Martin Schultz (06-04-2004)
| Kommentar
Fra : Martin Schultz |
Dato : 06-04-04 10:16 |
|
On Mon, 05 Apr 2004 23:59:32 +0200, Martin Johansen [6000] wrote:
> HEjsa!
>
> Har lige opdaget følgende..:
>
> Checking `bindshell'... INFECTED (PORTS: 600)
>
> .. ved kørsel af chkrootkit på min desktop.
>
> Hvad betyder dette og hvad burde jeg gøre?
Prøv at læse på chkrootkits hjemmeside, og så tjek som du kan nogen af de
programmer de skriver kan give falske positive installeret.
Martin
--
Besøg http://www.adsltips.dk for guider til
ADSL og opsætning af Cisco/Zyxel routere.
| |
|
|