Hallo Liste, heute habe ich folgende Meldung von meinem System bekommen:
/etc/cron.daily/chkrootkit: Warning: Possible Showtee Rootkit installed INFECTED (PORTS: 465 4000) eth0: PACKET SNIFFER(/usr/sbin/dhcpd3[21365]) Die Zeile mit Showtee ist neu. Der Rest ist OK. Ich habe also mal geschaut, was der SHowtee-Test macht: -- 8< chkrootkit 8< -- ### Showtee if [ -d ${ROOTDIR}usr/lib/.egcs ] || [ -f ${ROOTDIR}usr/lib/libfl.so ] || \ [ -d ${ROOTDIR}usr/lib/.kinetic ] || [ -d ${ROOTDIR}usr/lib/.wormie ] || \ [ -f ${ROOTDIR}usr/lib/liblog.o ] || [ -f ${ROOTDIR}usr/include/addr.h ] || \ [ -f ${ROOTDIR}usr/include/cron.h ] || [ -f ${ROOTDIR}usr/include/file.h ] || \ [ -f ${ROOTDIR}usr/include/proc.h ] || [ -f ${ROOTDIR}usr/include/syslogs.h ] || \ [ -f ${ROOTDIR}usr/include/chk.h ]; then echo "Warning: Possible Showtee Rootkit installed" else if [ "${QUIET}" != "t" ]; then echo "nothing found"; fi fi -- >8 -- Die Datei, die er anmeckert ist -rw-r--r-- 1 root root 774 2006-09-12 10:34 /usr/lib/libfl.so Sie gehört zu keinem Debian-Paket aus dem normalen Repository, allerdings habe ich auch die Quellen für freenx, bootsplash, blackdown und marillat aktiviert. Sie enthält folgenden ASCII-Text: -- 8< -- /* GNU ld script * -*- Mode: C -*- * libfl.so --- * Author : Manoj Srivastava ( [EMAIL PROTECTED] ) * Created On : Mon Sep 11 13:25:55 2006 * Created On Node : glaurung.internal.golden-gryphon.com * Last Modified By : Manoj Srivastava * Last Modified On : Tue Sep 12 03:34:30 2006 * Last Machine Used: glaurung.internal.golden-gryphon.com * Update Count : 2 * Status : Unknown, Use with caution! * HISTORY : * Description : * * GNU ld script * When shared linking is requested, map the request to the PIC static * library, which is the closest we come to a shared library here. * * arch-tag: ce35efb4-3893-42c7-bdcb-56d95beba2ac */ INPUT( /usr/lib/libfl_pic.a ); -- >8 -- /usr/lib/libfl_pic.a seinerseits enthält zwei Dateien: libmain.o und libyywrap.o Es ist ja jetzt nicht so, dass ich in Panik ausbreche, nur weil chkrootkit mal hustet, aber wie bekomme ich jetzt raus, wer die Datei da abgelegt hat (also welches Paket) und was das Ding macht? Greetz, Andre -- BOFH-excuse of the day: CD-ROM server needs recalibration
signature.asc
Description: Dies ist ein digital signierter Nachrichtenteil