chkrootkit
Tomasz Witek
tiwek w manta.univ.gda.pl
Nie, 9 Lut 2003, 16:33:27 CET
wyciolem wszystko co ten pan napisal bo jak ktos chce to wroci do jego
listu. Uzywam chkrootkita na wsystkich kilkunastu serwerkach ktorymi sie
zajmuje. w wszystkich mam w /etc/sysconfig/chkrootkit wpisane ze email
ma isc tylko do mnie na prywatny adres i codziennie zawsze spogladam na
te kilka linijek ktore przysyla. Zainstalowalem tez go na RH jakims
starym zhackowanym kilka razy, zeby zobaczyc jak sie zachowuje i ...
Checking `tcpd'... INFECTED
Searching for suspicious files and dirs, it may take a while...
/usr/lib/linuxconf/install/gnome/.directory
/usr/lib/linuxconf/install/gnome/.order
/usr/lib/perl5/5.00503/i386-linux/.packlist
/usr/lib/perl5/5.00503/i386-linux/auto/DB_File/.packlist
/usr/lib/perl5/5.00503/i386-linux/auto/IO/.packlist
/usr/lib/perl5/5.00503/i386-linux/auto/File/Spec/.packlist
/usr/lib/perl5/5.00503/i386-linux/auto/CPAN/.packlist
/usr/lib/perl5/5.00503/i386-linux/auto/CGI/.packlist
/usr/lib/perl5/5.00503/i386-linux/auto/Test/.packlist
/usr/lib/perl5/5.00503/i386-linux/auto/Getopt/Long/.packlist
/usr/lib/perl5/5.00503/i386-linux/auto/Text/Soundex/.packlist
/usr/lib/perl5/site_perl/5.005/i386-linux/auto/MD5/.packlist
/usr/lib/perl5/site_perl/5.005/i386-linux/auto/Net/Telnet/.packlist
/usr/lib/perl5/site_perl/5.005/i386-linux/auto/Net/.packlist
/usr/lib/perl5/site_perl/5.005/i386-linux/auto/DBI/.packlist
/usr/lib/perl5/site_perl/5.005/i386-linux/auto/DBI/FAQ/.packlist
/usr/lib/perl5/site_perl/5.005/i386-linux/auto/Data/ShowTable/.packlist
/usr/lib/perl5/site_per!
l/5.005/i386-linux/auto/Msql-Mysql-modules/.packlist
/usr/lib/perl5/site_perl/5.005/i386-linux/auto/Archive/Tar/.packlist
/usr/lib/perl5/site_perl/5.005/i386-linux/auto/Term/ReadLine/.packlist
/usr/lib/perl5/site_perl/5.005/i386-linux/auto/Term/ReadKey/.packlist
/usr/lib/perl5/site_perl/5.005/i386-linux/auto/Pod/Parser/.packlist
/usr/lib/perl5/site_perl/5.005/i386-linux/auto/Pod/.packlist
/usr/lib/perl5/site_perl/5.005/i386-linux/auto/Tie/Handle/.packlist
/usr/lib/perl5/site_perl/5.005/i386-linux/auto/IO/Stty/.packlist
/usr/lib/perl5/site_perl/5.005/i386-linux/auto/Text/.packlist
/usr/lib/perl5/site_perl/5.005/i386-linux/auto/HTML/Tagset/.packlist
/usr/lib/perl5/site_perl/5.005/i386-linux/auto/HTML/Parser/.packlist
/usr/lib/perl5/site_perl/5.005/i386-linux/auto/Digest/MD5/.packlist
/usr/lib/perl5/site_perl/5.005/i386-linux/auto/MIME/Base64/.packlist
/usr/lib/perl5/site_perl/5.005/i386-linux/auto/URI/.packlist
/usr/lib/perl5/site_perl/5.005/i386-linux/auto/libwww-perl/.packlist!
/usr/lib/perl5/site_perl/5.005/i386-linux/auto/Apache/DBI/.packlist
/usr/lib/perl5/site_perl/5.005/i386-linux/auto/XML/Parser/.packlist
/usr/lib/perl5/site_perl/5.005/i386-linux/auto/XML/RSS/.packlist
/usr/lib/perl5/site_perl/5.005/i386-linux/auto/mod_perl/.packlist
/usr/lib/perl5/site_perl/auto/MD5/.packlist
/usr/lib/perl5/site_perl/auto/DBI/.packlist /usr/lib/mc/.mc
/usr/lib/mc/.cedit
/usr/lib/mc/.mc /usr/lib/mc/.cedit
Checking `rexedcs'... INFECTED
Checking `sniffer'...
Checking `wted'... Checking `z2'...
Dostalm cos takiego. Ladne prada :)
To prawda ze haker moze podmienic itd. Weic co mam odlaczyc serwery od
sieci ? Nie mam poinstalowane kilka rozych takich programow + swoj
wlasny wynalazek. Moze cos przeoczy. Poza tym dlam o wszystko.
Codziennie rano przychodze i czytam sobie te kilkadziesiat emaili od
moich programow :)
Moze miales na mysli logwatch ?
Jak pierwszy raz zobaczylem na jego logi to sie przezegnalem szczegolnie
ze chialem miec log z tygodnia na dosc obizazonym serwerku.
Nie mam tego juz nigdzie ale dziennie od logwatcha dostaje 100k.
To dopiero fajna zabawka, choc i ona czasem moze przeoczyc conieco, sam
widzialem.
Chkrootkit jest fajny. Warto go uruchamiac jak sie ma jakies
podejrzenia. To prawda ze co godzine bez sensu. Dlatego 1 raz dziennie
uwazam za ok. i tak nie mozna brac tego za wyrocznie.
TiweK
--
.--.
|o_o | Tomasz Witek
/_ / | KOTI sp. z o.o., Administrator
// \ \ Uniwersytet Gdański, Instytut Matematyki
(| | )
)~\_ _/~( Linux Registered User #163097
\___)==(___/
perl -e 'print pack(c7,sqrt(7056),(unpack(c,U)+20),119,oct(145),hex(50)-5,7,10)'
Więcej informacji o liście dyskusyjnej pld-devel-pl