Ho una macchina con sarge aggiornato con security.debian.org Su questa macchina, sempre attiva e collegata ad una adsl con pppoe, girano oltre al kernel e al ppp, solo i demoni di ssh (accessibile solo da macchine interne e solo tramite certificati), bind, il monitor di nut e, da una ventina di giorni, openntp.
Stamattina mi sono trovato questo: /etc/cron.daily/chkrootkit: INFECTED (PORTS: 1978) il check è quello su bindshell e la porta in oggetto è aperta da openntp verso la 123 di un server su internet. Se fermo openntp, chkrootkit non mi segnala più nulla. Se lo riavvio, di nuovo ottengo lo stesso messaggio ma con una porta differente. Integrit, che gira ogni notte, non mi ha segnalato alcuna variazione di rilievo sul file system. Google non mi aiuta. E' capitato a qualcun altro ? -- Michele Orsenigo [EMAIL PROTECTED] ----------------
