# HILFE - chkrootkit meldet   ->wted

## pom

Hallo zusammen,

ich glaube ich habe ein grosses Problem.

So aus Spass starte ich chkrootkit (Verion 0.41-r1) auf meiner aktuelle Gentoo 1.4 Kiste. Plötzlich das:  

-cut-

Checking `sniffer'...

eth0 is not promisc

Checking `wted'... 

1 deletion(s) between Mon May  5 20:31:35 2003 and Thu May  8 17:33:39 2003

1 deletion(s) between Thu May  8 17:38:10 2003 and Fri May  9 17:39:33 2003

4 deletion(s) between Tue May 13 19:11:07 2003 and Thu Jan  1 01:00:49 1970

6 deletion(s) between Mon Jun 30 15:56:36 2003 and Mon Jun 30 18:11:08 2003

nothing deleted

Checking `w55808'... not infected

-cut-

Was bedeutet das????? 

Mir ist gans schlecht. 

Gruss

Thomas

----------

## bmichaelsen

http://www.niser.org.my/resources/rootkit.pdf

seite 5

wenns kein fehlalarm is würde ich mir sorgen machen ..

----------

## pom

HI,

ich glaub das es kein Fehlarlarm ist. An den besagten Tagen war ich über DSL mit SSH auf dem Mailserver. 

Was, außer Neuinstallation kann/soll ich machen?

POM

----------

## toskala

die erfahrung lehrt mich, dass man neu installieren sollte   :Twisted Evil: 

woher kommt denn das rootkit  :Smile: ?

das is vielleicht noch interessant und aufschlussreich um die näxte installation nich wieder karpott zu machen, viel spass  :Smile: 

----------

## pom

Hi,

 *toskala wrote:*   

> woher kommt denn das rootkit ?

 

die Frage ist gut. Es wird ja nicht gesagt er hat eines gefunden, sondern es wurde 'wtmp' mit 'wted' manipuliert. 

Ich war eigendlich immer der Meinung ein SSH-Sitzung sei sicher.

Habt ihr noch Tipps, wie ich SSH bei wechselder IP sicherrer gestalten kann?

POM

----------

## adrenalin

 *pom wrote:*   

> Hi,
> 
>  *toskala wrote:*   woher kommt denn das rootkit ? 
> 
> die Frage ist gut. Es wird ja nicht gesagt er hat eines gefunden, sondern es wurde 'wtmp' mit 'wted' manipuliert. 
> ...

 

auch das wurde nicht gesagt, es wurden ein paar löschungen festgestellt, die möglicherweise durch wted vorgenommen wurden. so versteh ich es zumindest. ein ander thread dazu ist übrigens hier.

ach ja, ich bekomm übrigens auch diese meldungen seit geraumer zeit  :Confused:  sonst noch jemand ?

----------

## MaxX

schau dir die lastlog mal genau an ('last'), sollte da irgendwelcher kram drinstehen, der nicht wie user/host-namen oder zeiten aussieht kann's auch ein filesystemfehler sein. reiserfs hat die angewohnheit bei einem unguenstigen crash einige momentan offene files zu "mixen" (find ich nicht weniger bedenklich als ein r00tkit  :Wink: ).

uebrigens sagt das alleine garnichts aus ob man ein r00tkit auf der platte hat. es muss nur jemand deinen root-login rausgefunden haben und versuchen seine spuren zu verwischen. ein gutes komplettes r00tkit wuerde auch chkrootkit nicht finden...

----------

## pom

Hi,

ich habe mir den Output von last einmal angesehen, da ist einiger Müll drin und das FS ist auch reiserfs. Ist scheinbar nur bliner Alarm. *freu*

Es hat auf meinem Notebook so einige crashs gegeben, immer dann wenn ich lm_sensors aktiv hatte und die Temparatur die magischen 60 Grad überstieg. Da fror die Kiste total ein.

Gruß

POM

----------

