Warning: Possible LKM Trojan installed

PMB

PMB

Grünschnabel
Hallo,
ich habe folgendes Problem:
Debian Sarge mit VHCS2

chkrootkit gibt mir folgende Meldung aus:
Checking `sshd'... /usr/bin/strings: Warning: '/' is not an ordinary file
not infected
...
Checking `lkm'... You have 11 process hidden for readdir command
You have 22 process hidden for ps command
Warning: Possible LKM Trojan installed
...

Ich habe zu der Meldung "Warning: Possible LKM Trojan installed" bisher nur folgende oder ähnliche Aussagen gefunden:
"das brauchst Du wohl nicht so ernst zu nehmen.
Scheint ein Fehler von chkrootkit zu sein. Diese Meldung haben schon viele
moniert und jedesmal hat sich das ganze als Fehler rausgestellt."

Vom Server sind jedoch ssh brute-force atacken ausgegangen, von denen ich den Ursprung noch nicht aus, machen konnte. Ich vermute daher, dass es etwas mit der Meldung zu tun hat :(
 
Wo ist die Frage?

Einzigste Lösung -> Server plattmachen und neu aufsetzen.

Es gibt keine Alternative dazu.
 
ich dachte eigendlich eher an eine Lösung wie ich den Trojaner hoffentlich sauber von dem Server bekomme.
 
Es gibt - natürlich - keine andere Lösung.

Sogar wenn du wüßtest welcher Trojaner das ist und wie du ihn vom System bekommen könntest, woher willst du wissen was der Trojaner noch so alles auf dem Server installiert hat?

Und sogar wenn du das wüßtest, könntest du dir nie sicher sein.
 
OK, da hast du natürlich recht ;(
dann bleibt mir ja keine andere Möglichkeit über.
thx
 
Ich kenne das Problem -> vServer und chkrootkit.

Meines Wissens, liegt es daran, daß das Verzeichnis /proc beim vServer vom Host-System quasi gelinkt wird und dies dazu führen kann, daß auch Verzeichnisse unter /proc aufgeführt werden, die eigentlich dem Host-System gehören.
Lass doch mal zur Sicherheit einen anderen rootkit-Check laufen (z.B. rkhunter).
Ich bin mir zu 90% sicher, daß dieser nix findet.
Sollte allerdings auch der zweite Scanner etwas finden, dann wäre ein "neu aufsetzen" wahrscheinlich angebracht.

Eine weitere Möglichkeit wäre der Einsatz eines Portscan-Detektors (z.B. portsentry). In diesem Zusammenhang sind bereits False-Positive-Scans bekannt. Schau dir dazu mal diesen Link an. Vielleicht hilft das ja weiter.
 
Zuletzt bearbeitet:

Ähnliche Themen

Zugriff Ubuntu 16.04. auf Freigabe 18.04. LTS nicht möglich

NagiosGrapher 1.7.1 funktioniert nicht

Akonadi startet nicht mehr

xrandr: cant open display

rsnapshot und ein Rechteproblem?

Zurück
Oben