Hallo,
im neuen openSUSE 12.3 kommt beim Lauf von chkrootkit die Meldung
...
Searching for Suckit rootkit... Warning: /sbin/init INFECTED
...
Ist dies ein Bug?
Weiss jemand wie man dies korrigieren kann?
danke
Hallo,
im neuen openSUSE 12.3 kommt beim Lauf von chkrootkit die Meldung
...
Searching for Suckit rootkit... Warning: /sbin/init INFECTED
...
Ist dies ein Bug?
Weiss jemand wie man dies korrigieren kann?
danke
"Suckit" deinstallieren?
Wenn du das schon laufen lässt, hast du doch sicher die Prüfsummen der befallenen Files überprüft, oder?
Und sorgfältig, wie wir nun mal sind, haben wir auch mit "rkhunter" eine Plausibilitätskontrolle durchgeführt.
Was hat die ergeben?
Man mag es auch nicht glauben: Google findet einiges zu dieser Meldung.
Oft sind das False Positives.
Du kannst das überprüfen:
Zitat- The SucKIT rootkit allows an attacker to hide malicious files by giving them a particular ending. The current attacker is hiding code that ends in xrk or mem. To test for the presence of the rootkit, create a file whose name ends in xrk or mem, then execute an "ls -l". If the files you just created are not shown in the output of ls, it means that the rootkit is hiding them, ie. your system is compromised and needs to be rebuilt.
- Change directories to /sbin and execute an "ls -l init" -- the link count should be 1. Create a hard link to init using ln, and then execute the "ls -l init" again. If the link count is still 1, the SK rootkit is installed.
- Rooted systems send usernames and passwords to other compromised machines using TCP port 55, so if you keep records of network connections, traffic to destination port TCP/55 merits further investigation.
Aus einer ziemlich guten Seite, die es leider so nicht mehr gibt, oder ich nicht mehr finde.
Vielleicht sollte ich mal das Googlen lernen...
Hi,
rkhunter
[08:32:21] /sbin/init [ OK ]
siehe
http://lists.opensuse.org/open…ugs/2011-11/msg04332.html
[Bug 731281] Chkrootkit gives a false positive about /sbin/init and wted