Gen2VDR Forum -> rootkit - "Possible Scalper Worm installed"

Hilfe

Suche

Mitglieder

· Foren Regeln

Willkommen Gast ( Einloggen | Registrieren )

Bestätigungs E Mail erneut senden

Gen2VDR Forum -> Allgemeines -> Internes

rootkit - "Possible Scalper Worm installed", bei chkrootkit kam diese Meldung

Thema abonnieren | Thema versenden | Thema drucken

netz

Geschrieben am: Dienstag, 05.Juni 2007, 09:32 Uhr

Prinz

Gruppe: Moderators
Beiträge: 1624
Mitgliedsnummer.: 451
Mitglied seit: 2004-12-01

Hallo,
ich habe im Vdrportal gerade ein Thema über rootkit gelesen.
http://www.vdr-portal.de/board/thread.php?...41dddee46e202a4

Daraufhin habe ich mir chkrootkit installiert und meine Gen2vdr durchgetestet.
Hier bekam ich die Meldung.

CODE

...
Checking `asp'... not infected
Checking `bindshell'... not infected
Checking `lkm'... chkproc: nothing detected
Checking `rexedcs'... not found
Checking `sniffer'... eth0: PF_PACKET(/sbin/dhcpcd)
Checking `w55808'... not infected
Checking `wted'... chkwtmp: nothing deleted
Checking `scalper'... Warning: Possible Scalper Worm installed
Checking `slapper'... not infected
Checking `z2'... chklastlog: nothing deleted
Checking `chkutmp'... The tty of the following user process(es) were not found
in /var/run/utmp !
...

Kennt sich in dem Bereich jemand aus?
Ist es ein Fehlalarm?

In /tmp , /root , /home oder /var nix verdächtiges gefunden.

http://www.lan.uni-bayreuth.de/virus/archiv02.html

QUOTE

01.07.02:

Name: ELF/Scalper-A Typ: Win32-Wurm Alias: ELF/FreeApworm, ELF_SCALPER.A, FreeBSD.Scalper.Worm, Linux.Scapler.Worm, Linux/Ehcapa.worm, BSD/Scalper.worm

Elf/Scalper-A ist ein Internet-Wurm, der sich auf FreeBSD-Systemen auf Apache-Webservern verbreitet. Gefahr besteht für Kombinationen aus FreeBSD 4.5 und Apache Versionen 1.3.20 - 1.3.24.
Der Wurm verbreitet sich, indem er systematisch alle IP-Adressen aus zufällig gewählten Klasse-B-Netzwerken überprüft. Wenn er eine gültige IP-Adresse findet, versucht er, sich mit einem Apache-Webserver auf Port 80 zu verbinden und ihn über die kürzlich entdeckte Schwachstelle in der Kodierung beim Pakettransfer zu beschädigen.
Ist der Wurm erfolgreich, überträgt er sich in uuencodierter Form zu der Datei /tmp/.uua auf dem Remote-Host und uudecodiert sich in die Datei /tmp/.a, die er schließlich ausführt.
Elf/Scalper-A verfügt außerdem über Backdoor-Funktionalitäten auf dem UDP-Port 2001. Durch diese Funktionen kann ein Angreifer von fern verschiedene Formen von Denial-of-Service-Attacken auf andere Computer starten sowie Dateien auf dem Remote-Host nach E-Mail-Adressen durchsuchen, auf Webseiten zugreifen, E-Mails (Spam) versenden, Verbindungen zu anderen Ports öffnen und willkürliche Shell-Befehle ausführen.
Auch wenn diese Variante speziell auf FreeBSD 4.5 Systemen funktioniert, wird allen Anwendern von Apache Webservern empfohlen, die entsprechenden Sicherheitsbulletins unter http://www.apache.org zu lesen und auf die neueste Version zu aktualisieren.

bis dann,
Nando

lexi

Geschrieben am: Dienstag, 05.Juni 2007, 20:42 Uhr

Prinz

Gruppe: Moderators
Beiträge: 2209
Mitgliedsnummer.: 434
Mitglied seit: 2004-11-05

hi,

also nach den installieren und ausführen kommt bei mir auch

QUOTE

Checking `scalper'... Warning: Possible Scalper Worm installed

Auskennen tue ich mich damit nicht, aber mal was anderes der Beitrag hast du bewusst hier platziert?

Gruss lexi

netz

Geschrieben am: Dienstag, 05.Juni 2007, 21:27 Uhr

Prinz

Gruppe: Moderators
Beiträge: 1624
Mitgliedsnummer.: 451
Mitglied seit: 2004-12-01

QUOTE (lexi @ Dienstag, 05.Juni 2007, 20:42 Uhr)

Auskennen tue ich mich damit nicht, aber mal was anderes der Beitrag hast du bewusst hier platziert?

Hallo Lexi,
ich habe die Meldung an mehreren Gen2VDR Installationen gefunden, wollte aber mit einem Fehlalarm nix lostreten. Es habe mir gedacht, dass bei mehreren die Meldung kommen würde.

Ich wollte doch lieber intern fragen. ;)
esgh sagt mir nix, aber ist versteckt und hat auch mit Spam-Liste ein ähnliches Thema (kann Spam veruhrsachen).

Findest du es unplatziert?

bis dann,
Nando

lexi

Geschrieben am: Dienstag, 05.Juni 2007, 22:02 Uhr

Prinz

Gruppe: Moderators
Beiträge: 2209
Mitgliedsnummer.: 434
Mitglied seit: 2004-11-05

hi,

QUOTE

Ich wollte doch lieber intern fragen.

aus meiner Sicht ok, kam ja noch kein Widerspruch zur internen Nutzung.

QUOTE

esgh sagt mir nix

mir auch nicht ...

QUOTE

Findest du es unplatziert?

Wollte nur nachfragen, da es hier kaum einer lesen kann, was mögliche Antworten reduziert.

Lexi

netz	Geschrieben am: Mittwoch, 06.Juni 2007, 10:15 Uhr
Prinz Gruppe: Moderators Beiträge: 1624 Mitgliedsnummer.: 451 Mitglied seit: 2004-12-01	Hallo, war, wie es aussieht, doch ein Fehlalarm. http://www.vdr-portal.de/board/thread.php?...7352#post617352 Kein "Possible Scalper Worm installed" :) bis dann, Nando

Thema wird von 1 Benutzer(n) gelesen (1 Gäste und 0 Anonyme Benutzer)

0 Mitglieder:

« älteres Thema | Internes | neueres Thema »