Hallo mede WHTers,
Elke ochtend laten wij automatische CHKROOTKIT draaien om te kijken of er trojans of andere software geinstalleerd is dat onze beveiliging kan schade.
Helaas kreeg ik vanmorgen dus een email binnen met daarin het volgende bericht:
/usr/lib/perl/5.8.4/auto/Mail/SpamAssassin/.packlist
You have 2 process hidden for readdir command
You have 2 process hidden for ps command
Warning: Possible LKM Trojan installed
Ik ben toen dan ook meteen ingelogd op onze server en heb het commando:
chkrootkit -x lkm
laten draaien, hier kwam de volgende output uit:
ROOTDIR is `/'
###
### Output of: ./chkproc -v -v -p 2
###
CWD 9449: /var/cache/bind
EXE 9449: /usr/sbin/named
CWD 9450: /var/cache/bind
EXE 9450: /usr/sbin/named
CWD 9451: /var/cache/bind
EXE 9451: /usr/sbin/named
Het leek dus eerste instantie erop dat named compromised is, al heb ik me twijfels, na een zoektocht op google kwam ik het volgende tegen:
http://lists.samba.org/archive/linux...ch/010320.html
Hier wordt gespeculeerd dat CHKROOTKIT bepaalde processen kan zien als Trojan.
Ik heb hierna dan ook named gestopt en nogmaals het commando chkrootkit -x lkm gedraait en kreeg de volgende output:
ROOTDIR is `/'
###
### Output of: ./chkproc -v -v -p 2
###
Zodra ik named weer start krijg ik bovenstaand, wat ik dan niet snap is of named nu compromised is of niet of dat het een fout in CHKROOTKIT is ?
Kan iemand van jullie deze issue op helderen ?