Hi,
ich lass gelegentlich mal chkrootkit über meinen Rootie laufen, da hab ich heute folgende Ausgabe erhalten:
Checking `sniffer'... eth0: PF_PACKET(/var/tmp/portage/net-misc/dhcp-3.1.0/image/sbin/dhclient (deleted))
Der Eintrag kommt auch, wenn ich chkrootkit direkt danach nochmal laufen lasse. Das Paket dhcp habe ich gar nicht installiert, die Gurke ist komplett statisch konfiguriert. Sollte mir dieser Eintrag Grund zur Sorge bereiten?
Danke schonmal,
Guido
[gelöst] Seltsame Meldung bei chrootkit
Message
[gelöst] Seltsame Meldung bei chrootkit
Last edited by Daimos on Thu Feb 21, 2008 7:02 pm, edited 1 time in total.
- ChrisJumper
- Advocate
- Posts: 2419
- Joined: Sat Mar 12, 2005 1:42 pm
- Location: Germany
Neee... es "kann" auch daran liegen das in den geprüften Verzeichnissen irgendwo ein toter Symlink liegt.
Such den mal und wenn du ihn hast, lösche ihn einfach.
Merkwürdig ist allerdings das ein Link entstanden ist der auf Portages-"Werkraum" zeigt. Vielleicht hast du ja doch besuch bekommen.
Google doch mal wofür diese "PF_PACKET" stehen könnte...
Edit: Ein paar Minuten später:
list.debian.org - Januar 2004
Tipps für die Zukunft:
1. Backup machen.
2. Wirklich wichtige Daten verschlüsseln.
3. Solide Passwörter verwenden.
Dann kann es dir zumindest "ein wenig mehr" Egal sein ob grade Jemand auf deinem Rechner ist.
Such den mal und wenn du ihn hast, lösche ihn einfach.
Merkwürdig ist allerdings das ein Link entstanden ist der auf Portages-"Werkraum" zeigt. Vielleicht hast du ja doch besuch bekommen.
Google doch mal wofür diese "PF_PACKET" stehen könnte...
Edit: Ein paar Minuten später:
list.debian.org - Januar 2004
Mach dir wegen der Meldung keine Sorgen, und versuch beim nächsten mal ein wenig mehr zu forschen. Aber ich kenne es ja, wenn man das Gefühl hat seinem Rechner nicht mehr trauen zu können fällt es schwer ruhig zu bleiben :)Re: Checking `sniffer'... eth0: PF_PACKET(/sbin/dhclient-2.2.x)
Lawrence Houston <debian@greenfield.dyndns.org> writes:
> Running the latest CHKROOTKIT (0.43) under Debian (3.0r2) I am now
> receiving the following messages on my Router:
>
> Checking `sniffer'... eth0: PF_PACKET(/sbin/dhclient-2.2.x)
> eth1: PF_PACKET(/sbin/dhclient-2.2.x, /usr/sbin/dhcpd-2.2.x)
>
> Which is a bit worrisome since I had NOT this with previous versions of
> CHKROOTKIT (up to and including 0.42b)!!! Does anyone know if this is
> "normal" for Woody's dhcp-client???
yes, it's normal.
it just means that /sbin/dhclient-2.2.x, /usr/sbin/dhcpd-2.2.x use the
packet interface (which many sniffers use). consider it a false positive.
Tipps für die Zukunft:
1. Backup machen.
2. Wirklich wichtige Daten verschlüsseln.
3. Solide Passwörter verwenden.
Dann kann es dir zumindest "ein wenig mehr" Egal sein ob grade Jemand auf deinem Rechner ist.
- think4urs11
- Bodhisattva
- Posts: 6659
- Joined: Wed Jun 25, 2003 9:51 pm
- Location: above the cloud
Die Meldung an sich ist sehr wahrscheinlich ein false positive.
dhclient arbeitet ähnlich wie ein Sniffer und hängt sich recht tief in ein Netzwerkinterface was chkrootkit bemängelt. Allgemein wird empfohlen zur Kontrolle rkhunter laufen zu lassen. Wobei man generell beiden eigentlich nur dann trauen kann wenn der gesamte Suchlauf von einem vertrauenswürdigen read-only Medium aus erfolgt; d.h. von dort aus auch gebootet wurde.A PF_PACKET socket is a low level connection that bypasses normal parts of the network stack and allows sniffing of network traffic. Again a sniffer is usually an indication of a system compromise, but this check is subject to false positives. The most common false positive is mistaking the dhclient listening on a PF_PACKET socket for dhcp traffic as a sniffer.
Nothing is secure / Security is always a trade-off with usability / Do not assume anything / Trust no-one, nothing / Paranoia is your friend / Think for yourself
Jo danke für Eure Mühen 
Nur habe ich rein gar nix DHCP mäßiges laufen - die Schüssel ist eben rein statisch. Das Rettungs System von Stato kennt keine Tools zum Gucken, ob das was fieses mitläuft, das ist son ganz minimales LFS Teil.
Und dann stört mich, dass das innerhalb /var/tmp/portage ist - das ding ist leer und von Seiten des Strato DHCP Servers sicher nicht bedacht, da es bei Strato offiziell kein Gentoo gibt. Und ne andere Kiste, die weitgehend identisch ist, meldet das nicht...
Weiter stört mich, dass ein DHCP client in Paket ist, dem man normalerweise jedweden netzerkzugriff erlaubt - um eben einen netzwerkzugriff zu haben. Aber ich habs halt statisch...
Verdichtet sich das in Richtung doch eher problematisch?
Nur habe ich rein gar nix DHCP mäßiges laufen - die Schüssel ist eben rein statisch. Das Rettungs System von Stato kennt keine Tools zum Gucken, ob das was fieses mitläuft, das ist son ganz minimales LFS Teil.
Und dann stört mich, dass das innerhalb /var/tmp/portage ist - das ding ist leer und von Seiten des Strato DHCP Servers sicher nicht bedacht, da es bei Strato offiziell kein Gentoo gibt. Und ne andere Kiste, die weitgehend identisch ist, meldet das nicht...
Weiter stört mich, dass ein DHCP client in Paket ist, dem man normalerweise jedweden netzerkzugriff erlaubt - um eben einen netzwerkzugriff zu haben. Aber ich habs halt statisch...
Verdichtet sich das in Richtung doch eher problematisch?
Also gibt es diese Datei garnicht?Daimos wrote:Jo danke für Eure Mühen
Nur habe ich rein gar nix DHCP mäßiges laufen - die Schüssel ist eben rein statisch. Das Rettungs System von Stato kennt keine Tools zum Gucken, ob das was fieses mitläuft, das ist son ganz minimales LFS Teil.
Und dann stört mich, dass das innerhalb /var/tmp/portage ist - das ding ist leer und von Seiten des Strato DHCP Servers sicher nicht bedacht, da es bei Strato offiziell kein Gentoo gibt. Und ne andere Kiste, die weitgehend identisch ist, meldet das nicht...
Weiter stört mich, dass ein DHCP client in Paket ist, dem man normalerweise jedweden netzerkzugriff erlaubt - um eben einen netzwerkzugriff zu haben. Aber ich habs halt statisch...
Verdichtet sich das in Richtung doch eher problematisch?
Dem Scanner ist es recht egal ob dhclient gerade läuft oder nicht. Es hat einfach nur eine Binary mit verdächtigem Inhalt gefunden.
Das Paket wurde wahrscheinlich als Abhängigkeit installiert, prüfe das mal mit
equery d dhclient
...it's only Rock'n'Roll, but I like it!
Re: Seltsame Meldung bei chrootkit
Heist das nicht, das ein PF_PACKET "Socket" auf eth0 existiert, also das gerade das Netzwerk lowlevel abehört wird? Wenn dhclient "nur" instaliert währe, sollte das nicht der Fall sein.Daimos wrote: Checking `sniffer'... eth0: PF_PACKET(/var/tmp/portage/net-misc/dhcp-3.1.0/image/sbin/dhclient (deleted))
Ich glaube nicht, das chkrootkit/rkhunter in der Lage sind die binaries von nicht laufenden Programmen zu überprüfen ob sie ein PF_PACKET Socket erstellen können.
Bist du jetzt das erste mal darauf gestoßen, oder gab es diese Meldung schon immer?
Das "deleted" bedeutet dann im Endeffekt nur, das das Programm läuft, aber das originale Binary nichtmehr existiert (oder nicht mehr an dem Ort). Der Kernel merkt sich halt den Pfad wo das Programm raus gestartet wurde? Probier doch mal aus rauszufinden was du über den dhclient prozess in Erfahrung bringen kannst.
pid rausfinden (gibt sicher bessere wege)
Code: Select all
ps -C dhclient -o pidCode: Select all
/proc/$PID/*Vieleicht ist der dhclient ja nur ein überbleibsel aus der "test" phase der installation? Das Ebulild hat den "test" dhcp-clienten dann nur nicht sauber beendet?
root@mbj # echo "sys-pizza/calzone -tunfish" >> /etc/paludis/use.conf
root@mbj # paludis -i calzone --dl-blocks discard
root@mbj # paludis -i calzone --dl-blocks discard
Danke an alle, ich gehe mittlerweile fest von nem false positive aus.
rkhunter hatte nix zu meckern und der Prozess ließ sich auch anstandslos killen. Seitdem ist Ruhe im Karton.
Meine Theorie ist, dass es sich um ein Überbleibsel aus Zeiten der Installation handelt, anfangs lief die Gurke nämlich noch mit DHCP. Ich hab das dann irgendwann auf statisch umgestellt, nachdem das mit DHCP bei Strato nicht mehr sauber lief (genaugenommen gar nicht).
rkhunter hatte nix zu meckern und der Prozess ließ sich auch anstandslos killen. Seitdem ist Ruhe im Karton.
Meine Theorie ist, dass es sich um ein Überbleibsel aus Zeiten der Installation handelt, anfangs lief die Gurke nämlich noch mit DHCP. Ich hab das dann irgendwann auf statisch umgestellt, nachdem das mit DHCP bei Strato nicht mehr sauber lief (genaugenommen gar nicht).