[ml] Segnalazione di chkrootkit che non mi convince.

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Novembre 2006 ml@sikurezza.org
Soggetto: [ml] Segnalazione di chkrootkit che non mi convince.
Mittente: Michele Orsenigo
Data: Thu, 30 Nov 2006 19:18:29 +0100 (CET)

Ho una macchina con Debian sarge aggiornato con security.debian.org
Su questa macchina, sempre attiva e collegata ad una adsl con pppoe, girano
oltre al kernel e al ppp, solo i demoni di ssh (accessibile solo da macchine
interne e solo tramite certificati), bind, il monitor di nut e, da una
ventina di giorni, openntp.

Stamattina mi sono trovato questo:

/etc/cron.daily/chkrootkit:
INFECTED (PORTS:  1978)

il check è quello su bindshell e la porta in oggetto è aperta da openntp
 verso la 123 di un server su internet.
Se fermo openntp, chkrootkit non mi segnala più nulla.
Se lo riavvio, di nuovo ottengo lo stesso messaggio ma con una porta
differente.
Integrit, che gira ogni notte, non mi ha segnalato alcuna variazione di
rilievo sul file system.
Google non  mi aiuta.
E' capitato a qualcun altro ?

--
Michele Orsenigo
gira06@xxxxxxxx
----------------

Data:
- precedente: [ml] Problema con Regole iptables DMZ, Pignedoli Luca
- indice

Argomento:
- precedente: [ml] Problema con Regole iptables DMZ, Pignedoli Luca
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005