# [gelöst] Seltsame Meldung bei chrootkit

## Daimos

Hi,

ich lass gelegentlich mal chkrootkit über meinen Rootie laufen, da hab ich heute folgende Ausgabe erhalten:

Checking `sniffer'... eth0: PF_PACKET(/var/tmp/portage/net-misc/dhcp-3.1.0/image/sbin/dhclient (deleted))

Der Eintrag kommt auch, wenn ich chkrootkit direkt danach nochmal laufen lasse. Das Paket dhcp habe ich gar nicht installiert, die Gurke ist komplett statisch konfiguriert. Sollte mir dieser Eintrag Grund zur Sorge bereiten?

Danke schonmal,

GuidoLast edited by Daimos on Thu Feb 21, 2008 7:02 pm; edited 1 time in total

----------

## ChrisJumper

Neee... es "kann" auch daran liegen das in den geprüften Verzeichnissen irgendwo ein toter Symlink liegt.

Such den mal und wenn du ihn hast, lösche ihn einfach.

Merkwürdig ist allerdings das ein Link entstanden ist der auf Portages-"Werkraum" zeigt. Vielleicht hast du ja doch besuch bekommen.

Google doch mal wofür diese "PF_PACKET" stehen könnte...

Edit: Ein paar Minuten später:

list.debian.org -  Januar 2004

 *Quote:*   

> Re: Checking `sniffer'... eth0: PF_PACKET(/sbin/dhclient-2.2.x) 
> 
> Lawrence Houston <debian@greenfield.dyndns.org> writes:
> 
> > Running the latest CHKROOTKIT (0.43) under Debian (3.0r2) I am now
> ...

 

Mach dir wegen der Meldung keine Sorgen, und versuch beim nächsten mal ein wenig mehr zu forschen. Aber ich kenne es ja, wenn man das Gefühl hat seinem Rechner nicht mehr trauen zu können fällt es schwer ruhig zu bleiben :)

Tipps für die Zukunft:

1. Backup machen.

2. Wirklich wichtige Daten verschlüsseln.

3. Solide Passwörter verwenden.

Dann kann es dir zumindest "ein wenig mehr" Egal sein ob grade Jemand auf deinem Rechner ist.

----------

## think4urs11

Die Meldung an sich ist sehr wahrscheinlich ein false positive.

 *Quote:*   

> A PF_PACKET socket is a low level connection that bypasses normal parts of the network stack and allows sniffing of network traffic. Again a sniffer is usually an indication of a system compromise, but this check is subject to false positives. The most common false positive is mistaking the dhclient listening on a PF_PACKET socket for dhcp traffic as a sniffer.

 

dhclient arbeitet ähnlich wie ein Sniffer und hängt sich recht tief in ein Netzwerkinterface was chkrootkit bemängelt. Allgemein wird empfohlen zur Kontrolle rkhunter laufen zu lassen. Wobei man generell beiden eigentlich nur dann trauen kann wenn der gesamte Suchlauf von einem vertrauenswürdigen read-only Medium aus erfolgt; d.h. von dort aus auch gebootet wurde.

----------

## Daimos

Jo danke für Eure Mühen  :Smile: 

Nur habe ich rein gar nix DHCP mäßiges laufen - die Schüssel ist eben rein statisch. Das Rettungs System von Stato kennt keine Tools zum Gucken, ob das was fieses mitläuft, das ist son ganz minimales LFS Teil. 

Und dann stört mich, dass das innerhalb /var/tmp/portage ist - das ding ist leer und von Seiten des Strato DHCP Servers sicher nicht bedacht, da es bei Strato offiziell kein Gentoo gibt. Und ne andere Kiste, die weitgehend identisch ist, meldet das nicht...

Weiter stört mich, dass ein DHCP client in Paket ist, dem man normalerweise jedweden netzerkzugriff erlaubt - um eben einen netzwerkzugriff zu haben. Aber ich habs halt statisch...

Verdichtet sich das in Richtung doch eher problematisch?

----------

## Anarcho

 *Daimos wrote:*   

> Jo danke für Eure Mühen 
> 
> Nur habe ich rein gar nix DHCP mäßiges laufen - die Schüssel ist eben rein statisch. Das Rettungs System von Stato kennt keine Tools zum Gucken, ob das was fieses mitläuft, das ist son ganz minimales LFS Teil. 
> 
> Und dann stört mich, dass das innerhalb /var/tmp/portage ist - das ding ist leer und von Seiten des Strato DHCP Servers sicher nicht bedacht, da es bei Strato offiziell kein Gentoo gibt. Und ne andere Kiste, die weitgehend identisch ist, meldet das nicht...
> ...

 

Also gibt es diese Datei garnicht?

Dem Scanner ist es recht egal ob dhclient gerade läuft oder nicht. Es hat einfach nur eine Binary mit verdächtigem Inhalt gefunden.

Das Paket wurde wahrscheinlich als Abhängigkeit installiert, prüfe das mal mit

equery d dhclient

----------

## m.b.j.

 *Daimos wrote:*   

> 
> 
> Checking `sniffer'... eth0: PF_PACKET(/var/tmp/portage/net-misc/dhcp-3.1.0/image/sbin/dhclient (deleted))
> 
> 

 

Heist das nicht, das ein PF_PACKET "Socket" auf eth0 existiert, also das gerade das Netzwerk lowlevel abehört wird? Wenn dhclient "nur" instaliert währe, sollte das nicht der Fall sein. 

Ich glaube nicht, das chkrootkit/rkhunter in der Lage sind die binaries von nicht laufenden Programmen zu überprüfen ob sie ein PF_PACKET Socket erstellen können.

Bist du jetzt das erste mal darauf gestoßen, oder gab es diese Meldung schon immer?

Das "deleted" bedeutet dann im Endeffekt nur, das das Programm läuft, aber das originale Binary nichtmehr existiert (oder nicht mehr an dem Ort). Der Kernel merkt sich halt den Pfad wo das Programm raus gestartet wurde? Probier doch mal aus rauszufinden was du über den dhclient prozess in Erfahrung bringen kannst. 

pid rausfinden (gibt sicher bessere wege)

```
ps -C dhclient -o pid
```

und dann halt was im /proc stöbern

```
/proc/$PID/*
```

cmdline environ usw

Vieleicht ist der dhclient ja nur ein überbleibsel aus der "test" phase der installation? Das Ebulild hat den "test" dhcp-clienten dann nur nicht sauber beendet?

----------

## Daimos

Danke an alle, ich gehe mittlerweile fest von nem false positive aus.

rkhunter hatte nix zu meckern und der Prozess ließ sich auch anstandslos killen. Seitdem ist Ruhe im Karton.

Meine Theorie ist, dass es sich um ein Überbleibsel aus Zeiten der Installation handelt, anfangs lief die Gurke nämlich noch mit DHCP. Ich hab das dann irgendwann auf statisch umgestellt, nachdem das mit DHCP bei Strato nicht mehr sauber lief (genaugenommen gar nicht).

----------

