[Postfixbuch-users] chkrootkit und postfix auf Debian Sarge

Patrick Ben Koetter p at state-of-mind.de
Mi Aug 16 11:40:37 CEST 2006


* Daniel Schulz <dlsz at arcor.de>:
> Hallo,
> 
> vor einigen Tagen bekam ich von meinem Server, auf dem Sarge mit
> Postfix läuft, eine Mail von chkrootkit:
> 
> Checking `bindshell'... INFECTED (PORTS:  465)
> 
> Dann habe ich geguckt, auf Port 465 lauscht der Prozess "master" von
> Postfix. Wenn ich Postfix beende meckert auch chkrootkit nicht mehr. Ich
> weiß, dass das vor einigen Jahren ein Bug war
> (http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=160539) aber der ist
> gefixt, chkrootkit hat jetzt die Version 0.44-2 (aus Sarge). Dh es
> sollte mit diesem Bug nichts zu tun haben.

Port 465 ist von der IANA standardisiert belegt/freigegeben:

$ grep 465 /etc/services
smtps           465/tcp                         # SMTP over SSL (TLS)

Ich würde also nachprüfen, wie chkrootkit auf `bindshell' kommt. Wenn
ausschliesslich der Port geprüft und zur Beurteilung herangezogen wird, dann
hat chkrootkit einen Denkfehler in der Interpretation der Analyseergebnisse
und ist somit "buggy".

Andernfalls würde ich auf meinem Rechner suchen, welchen Anlaß es für den
`bindshell'-Alarm geben kann.

p at rick

-- 
Das Postfix-Buch
<http://www.postfix-buch.com>
saslfinger (debugging SMTP AUTH):
<http://postfix.state-of-mind.de/patrick.koetter/saslfinger/>



Mehr Informationen über die Mailingliste Postfixbuch-users