| View previous topic :: View next topic |
| Author |
Message |
Daimos
Tux's lil' helper
Joined: 08 May 2003
Posts: 78
|
 Posted: Tue Feb 19, 2008 8:06 pm Post subject: [gelöst] Seltsame Meldung bei chrootkit |
 |
|
Hi,
ich lass gelegentlich mal chkrootkit über meinen Rootie laufen, da hab ich heute folgende Ausgabe erhalten:
Checking `sniffer'... eth0: PF_PACKET(/var/tmp/portage/net-misc/dhcp-3.1.0/image/sbin/dhclient (deleted))
Der Eintrag kommt auch, wenn ich chkrootkit direkt danach nochmal laufen lasse. Das Paket dhcp habe ich gar nicht installiert, die Gurke ist komplett statisch konfiguriert. Sollte mir dieser Eintrag Grund zur Sorge bereiten?
Danke schonmal,
Guido
Last edited by Daimos on Thu Feb 21, 2008 7:02 pm; edited 1 time in total |
|
| Back to top |
|
 |
ChrisJumper
Advocate
Joined: 12 Mar 2005
Posts: 2403
Location: Germany
|
| Posted: Tue Feb 19, 2008 10:59 pm Post subject: |
|
|
Neee... es "kann" auch daran liegen das in den geprüften Verzeichnissen irgendwo ein toter Symlink liegt.
Such den mal und wenn du ihn hast, lösche ihn einfach.
Merkwürdig ist allerdings das ein Link entstanden ist der auf Portages-"Werkraum" zeigt. Vielleicht hast du ja doch besuch bekommen.
Google doch mal wofür diese "PF_PACKET" stehen könnte...
Edit: Ein paar Minuten später:
list.debian.org - Januar 2004
| Quote: | Re: Checking `sniffer'... eth0: PF_PACKET(/sbin/dhclient-2.2.x)
Lawrence Houston <debian@greenfield.dyndns.org> writes:
> Running the latest CHKROOTKIT (0.43) under Debian (3.0r2) I am now
> receiving the following messages on my Router:
>
> Checking `sniffer'... eth0: PF_PACKET(/sbin/dhclient-2.2.x)
> eth1: PF_PACKET(/sbin/dhclient-2.2.x, /usr/sbin/dhcpd-2.2.x)
>
> Which is a bit worrisome since I had NOT this with previous versions of
> CHKROOTKIT (up to and including 0.42b)!!! Does anyone know if this is
> "normal" for Woody's dhcp-client???
yes, it's normal.
it just means that /sbin/dhclient-2.2.x, /usr/sbin/dhcpd-2.2.x use the
packet interface (which many sniffers use). consider it a false positive. |
Mach dir wegen der Meldung keine Sorgen, und versuch beim nächsten mal ein wenig mehr zu forschen. Aber ich kenne es ja, wenn man das Gefühl hat seinem Rechner nicht mehr trauen zu können fällt es schwer ruhig zu bleiben :)
Tipps für die Zukunft:
1. Backup machen.
2. Wirklich wichtige Daten verschlüsseln.
3. Solide Passwörter verwenden.
Dann kann es dir zumindest "ein wenig mehr" Egal sein ob grade Jemand auf deinem Rechner ist. |
|
| Back to top |
|
|
think4urs11
Bodhisattva
Joined: 25 Jun 2003
Posts: 6659
Location: above the cloud
|
| Posted: Tue Feb 19, 2008 11:27 pm Post subject: |
|
|
Die Meldung an sich ist sehr wahrscheinlich ein false positive.
| Quote: | | A PF_PACKET socket is a low level connection that bypasses normal parts of the network stack and allows sniffing of network traffic. Again a sniffer is usually an indication of a system compromise, but this check is subject to false positives. The most common false positive is mistaking the dhclient listening on a PF_PACKET socket for dhcp traffic as a sniffer. |
dhclient arbeitet ähnlich wie ein Sniffer und hängt sich recht tief in ein Netzwerkinterface was chkrootkit bemängelt. Allgemein wird empfohlen zur Kontrolle rkhunter laufen zu lassen. Wobei man generell beiden eigentlich nur dann trauen kann wenn der gesamte Suchlauf von einem vertrauenswürdigen read-only Medium aus erfolgt; d.h. von dort aus auch gebootet wurde.
_________________
Nothing is secure / Security is always a trade-off with usability / Do not assume anything / Trust no-one, nothing / Paranoia is your friend / Think for yourself |
|
| Back to top |
|
|
Daimos
Tux's lil' helper
Joined: 08 May 2003
Posts: 78
|
| Posted: Wed Feb 20, 2008 1:25 am Post subject: |
|
|
Jo danke für Eure Mühen 
Nur habe ich rein gar nix DHCP mäßiges laufen - die Schüssel ist eben rein statisch. Das Rettungs System von Stato kennt keine Tools zum Gucken, ob das was fieses mitläuft, das ist son ganz minimales LFS Teil.
Und dann stört mich, dass das innerhalb /var/tmp/portage ist - das ding ist leer und von Seiten des Strato DHCP Servers sicher nicht bedacht, da es bei Strato offiziell kein Gentoo gibt. Und ne andere Kiste, die weitgehend identisch ist, meldet das nicht...
Weiter stört mich, dass ein DHCP client in Paket ist, dem man normalerweise jedweden netzerkzugriff erlaubt - um eben einen netzwerkzugriff zu haben. Aber ich habs halt statisch...
Verdichtet sich das in Richtung doch eher problematisch? |
|
| Back to top |
|
|
Anarcho
Advocate
Joined: 06 Jun 2004
Posts: 2970
Location: Germany
|
| Posted: Wed Feb 20, 2008 9:55 am Post subject: |
|
|
| Daimos wrote: | Jo danke für Eure Mühen
Nur habe ich rein gar nix DHCP mäßiges laufen - die Schüssel ist eben rein statisch. Das Rettungs System von Stato kennt keine Tools zum Gucken, ob das was fieses mitläuft, das ist son ganz minimales LFS Teil.
Und dann stört mich, dass das innerhalb /var/tmp/portage ist - das ding ist leer und von Seiten des Strato DHCP Servers sicher nicht bedacht, da es bei Strato offiziell kein Gentoo gibt. Und ne andere Kiste, die weitgehend identisch ist, meldet das nicht...
Weiter stört mich, dass ein DHCP client in Paket ist, dem man normalerweise jedweden netzerkzugriff erlaubt - um eben einen netzwerkzugriff zu haben. Aber ich habs halt statisch...
Verdichtet sich das in Richtung doch eher problematisch? |
Also gibt es diese Datei garnicht?
Dem Scanner ist es recht egal ob dhclient gerade läuft oder nicht. Es hat einfach nur eine Binary mit verdächtigem Inhalt gefunden.
Das Paket wurde wahrscheinlich als Abhängigkeit installiert, prüfe das mal mit
equery d dhclient
_________________
...it's only Rock'n'Roll, but I like it! |
|
| Back to top |
|
|
m.b.j.
Guru
Joined: 12 Sep 2003
Posts: 407
Location: Germany (Essen)
|
| Posted: Wed Feb 20, 2008 10:53 am Post subject: Re: Seltsame Meldung bei chrootkit |
|
|
| Daimos wrote: |
Checking `sniffer'... eth0: PF_PACKET(/var/tmp/portage/net-misc/dhcp-3.1.0/image/sbin/dhclient (deleted))
|
Heist das nicht, das ein PF_PACKET "Socket" auf eth0 existiert, also das gerade das Netzwerk lowlevel abehört wird? Wenn dhclient "nur" instaliert währe, sollte das nicht der Fall sein.
Ich glaube nicht, das chkrootkit/rkhunter in der Lage sind die binaries von nicht laufenden Programmen zu überprüfen ob sie ein PF_PACKET Socket erstellen können.
Bist du jetzt das erste mal darauf gestoßen, oder gab es diese Meldung schon immer?
Das "deleted" bedeutet dann im Endeffekt nur, das das Programm läuft, aber das originale Binary nichtmehr existiert (oder nicht mehr an dem Ort). Der Kernel merkt sich halt den Pfad wo das Programm raus gestartet wurde? Probier doch mal aus rauszufinden was du über den dhclient prozess in Erfahrung bringen kannst.
pid rausfinden (gibt sicher bessere wege)
| Code: | | ps -C dhclient -o pid |
und dann halt was im /proc stöbern
cmdline environ usw
Vieleicht ist der dhclient ja nur ein überbleibsel aus der "test" phase der installation? Das Ebulild hat den "test" dhcp-clienten dann nur nicht sauber beendet?
_________________
root@mbj # echo "sys-pizza/calzone -tunfish" >> /etc/paludis/use.conf
root@mbj # paludis -i calzone --dl-blocks discard |
|
| Back to top |
|
|
Daimos
Tux's lil' helper
Joined: 08 May 2003
Posts: 78
|
| Posted: Thu Feb 21, 2008 6:58 pm Post subject: |
|
|
Danke an alle, ich gehe mittlerweile fest von nem false positive aus.
rkhunter hatte nix zu meckern und der Prozess ließ sich auch anstandslos killen. Seitdem ist Ruhe im Karton.
Meine Theorie ist, dass es sich um ein Überbleibsel aus Zeiten der Installation handelt, anfangs lief die Gurke nämlich noch mit DHCP. Ich hab das dann irgendwann auf statisch umgestellt, nachdem das mit DHCP bei Strato nicht mehr sauber lief (genaugenommen gar nicht). |
|
| Back to top |
|
|
|
|
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum
|
|
Deutsches Forum (German)
