[PLUTO-help] Bindshell rootkit
Mariano Cunietti
mcunietti a enter.it
Ven 12 Nov 2004 14:44:04 CET
> Ciao ho provato a fare la scansione con chkrootkit sulla mia linux box, con
> sorpresa mi ha avvisato che sono infetto da Bindshell rootkit, mi sembra
> molto strano in quanto tripwire non mi ha mai dato allarmi nei log mai nulla
> di strano, il sistema ha sempre funzionato perfettamente snort non mi ha mai
> segnalato traffico sospetto.....
> Secondo me è un falso positivo !
se utilizzi Portsentry è un falso positivo (leggi la documentazione di chkrootkit, dovrebbe esserci qualcosa)
fai un
# lsof -i -P
se esce qualcosa sulla porta 114 (ammesso che lsof non sia stato compromesso) allora forse hai bindshell.
Ciau
Mariano
More information about the pluto-help
mailing list