rkhunter - Checking for TCP port 2006

hahni

Active Member
hallo zusammen,

bei oben stehendem check steht nun nicht mehr "not found" sondern vielmehr "warning"! was könnte da passiert sein? rootkits etc. wurden keine gefunden!

viele grüße

hahni
 

hahni

Active Member
und was könnte das sein:

---
Mar 17 06:25:02 server su[28507]: + ??? root:nobody
Mar 17 06:25:02 server su[28507]: (pam_unix) session opened for user nobody by (uid=0)
Mar 17 06:25:02 server su[28507]: (pam_unix) session closed for user nobody
Mar 17 06:25:02 server su[28509]: + ??? root:nobody
Mar 17 06:25:02 server su[28509]: (pam_unix) session opened for user nobody by (uid=0)
Mar 17 06:25:02 server su[28509]: (pam_unix) session closed for user nobody
Mar 17 06:25:02 server su[28511]: + ??? root:nobody
Mar 17 06:25:02 server su[28511]: (pam_unix) session opened for user nobody by (uid=0)
Mar 17 06:25:49 server su[28511]: (pam_unix) session closed for user nobody
---
 

hahni

Active Member
alle als server.domain gekennzeichneten einträge sind der hostname des servers und wurden von mir umbenannt ;)

---
Aktive Internetverbindungen (Server und stehende Verbindungen)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 localhost.localdo:60000 *:* LISTEN 3805/postgrey.pid -
tcp 0 0 *:mysql *:* LISTEN 3992/mysqld
tcp 0 0 *:81 *:* LISTEN 4344/ispconfig_http
tcp 0 0 server.domain:domain *:* LISTEN 4744/named
tcp 0 0 localhost.locald:domain *:* LISTEN 4744/named
tcp 0 0 *:smtp *:* LISTEN 17500/master
tcp 0 0 server.domain:smtp 80.121.194.87:1191 SYN_RECV -
tcp 0 0 server.domain:smtp 80.121.194.87:1203 SYN_RECV -
tcp 0 0 server.domain:smtp 80.121.194.87:1190 SYN_RECV -
tcp 0 0 server.domain:smtp 80.121.194.87:1193 SYN_RECV -
tcp 0 0 localhost.localdoma:953 *:* LISTEN 4744/named
tcp 0 0 server.domain:smtp static.195.22.239.:6425 VERBUNDEN 20673/smtpd
tcp 0 0 server.domain:smtp 221.234.70.133:3562 VERBUNDEN 20612/smtpd
tcp 0 0 server.domain:smtp 92.80.229.84:1586 VERBUNDEN 20677/smtpd
tcp 0 0 server.domain:smtp host-091-097-121-1:1536 VERBUNDEN 20352/smtpd
tcp 0 0 server.domain:smtp 200-206-136-123.c:22736 VERBUNDEN 20443/smtpd
tcp 0 0 server.domain:smtp 93-80-2-145.broad:63030 VERBUNDEN 20808/smtpd
tcp 0 0 server.domain:39415 tethys.zih.tu-dresd:www TIME_WAIT -
tcp 0 0 server.domain:smtp 78.191.41.118:2151 VERBUNDEN 20439/smtpd
tcp 0 0 server.domain:smtp dct138.neoplus.ad:20053 VERBUNDEN 20343/smtpd
tcp 0 0 server.domain:smtp 92.81.11.233:58914 VERBUNDEN 20446/smtpd
tcp 0 0 server.domain:smtp mail.baskets-dyna:33533 TIME_WAIT -
tcp 0 0 server.domain:smtp cable201-233-124-5:3381 TIME_WAIT -
tcp 0 0 localhost.localdo:60000 localhost.localdo:37514 VERBUNDEN 3805/postgrey.pid -
tcp 0 0 localhost.localdo:60000 localhost.localdo:37515 VERBUNDEN 3805/postgrey.pid -
tcp 0 0 server.domain:smtp jserv91.hosp.go.j:45091 VERBUNDEN 20669/smtpd
tcp 0 0 localhost.localdo:60000 localhost.localdo:37518 VERBUNDEN 3805/postgrey.pid -
tcp 0 0 localhost.localdo:60000 localhost.localdo:37519 VERBUNDEN 3805/postgrey.pid -
tcp 0 0 localhost.localdo:60000 localhost.localdo:37516 VERBUNDEN 3805/postgrey.pid -
tcp 0 0 localhost.localdo:60000 localhost.localdo:37517 VERBUNDEN 3805/postgrey.pid -
tcp 0 0 localhost.localdo:60000 localhost.localdo:34688 VERBUNDEN 3805/postgrey.pid -
tcp 0 0 localhost.localdo:60000 localhost.localdo:34689 VERBUNDEN 3805/postgrey.pid -
tcp 0 0 localhost.localdo:60000 localhost.localdo:37522 VERBUNDEN 3805/postgrey.pid -
tcp 0 0 localhost.localdo:60000 localhost.localdo:37523 VERBUNDEN 3805/postgrey.pid -
tcp 0 0 localhost.localdo:60000 localhost.localdo:37520 VERBUNDEN 3805/postgrey.pid -
tcp 0 0 localhost.localdo:60000 localhost.localdo:37521 VERBUNDEN 3805/postgrey.pid -
tcp 0 0 localhost.localdo:60000 localhost.localdo:37526 VERBUNDEN 3805/postgrey.pid -
tcp 0 0 localhost.localdo:60000 localhost.localdo:37527 VERBUNDEN 3805/postgrey.pid -
tcp 0 0 localhost.localdo:60000 localhost.localdo:37524 VERBUNDEN 3805/postgrey.pid -
tcp 0 0 localhost.localdo:58952 localhost.localdo:60000 VERBUNDEN 20673/smtpd
tcp 0 0 localhost.localdo:58948 localhost.localdo:60000 VERBUNDEN 20674/smtpd
tcp 0 0 localhost.localdo:58949 localhost.localdo:60000 VERBUNDEN 20676/smtpd
tcp 0 0 localhost.localdo:58951 localhost.localdo:60000 VERBUNDEN 20669/smtpd
tcp 0 0 localhost.localdo:58945 localhost.localdo:60000 VERBUNDEN 20612/smtpd
tcp 0 0 localhost.localdo:58946 localhost.localdo:60000 VERBUNDEN 20614/smtpd
tcp 0 0 localhost.localdo:58947 localhost.localdo:60000 VERBUNDEN 20677/smtpd
tcp 0 0 localhost.localdo:58941 localhost.localdo:60000 VERBUNDEN 20460/smtpd
tcp 0 0 localhost.localdo:58942 localhost.localdo:60000 VERBUNDEN 20443/smtpd
tcp 0 0 localhost.localdo:58937 localhost.localdo:60000 VERBUNDEN 20441/smtpd
tcp 0 0 localhost.localdo:58938 localhost.localdo:60000 VERBUNDEN 20459/smtpd
tcp 0 0 localhost.localdo:58939 localhost.localdo:60000 VERBUNDEN 20439/smtpd
tcp 0 0 localhost.localdo:58934 localhost.localdo:60000 VERBUNDEN 20446/smtpd
tcp 0 0 localhost.localdo:58935 localhost.localdo:60000 VERBUNDEN 20442/smtpd
tcp 0 0 server.domain:smtp 212.200.196.5:2911 VERBUNDEN 20613/smtpd
tcp 0 181 server.domain:smtp 190-76-89-255.dyn.:4028 VERBUNDEN 20676/smtpd
tcp 0 0 localhost.localdo:60000 localhost.localdo:58952 VERBUNDEN 3805/postgrey.pid -
tcp 0 0 localhost.localdo:60000 localhost.localdo:58946 VERBUNDEN 3805/postgrey.pid -
tcp 0 490 server.domain:smtp 77-87-127-128.rev:44480 VERBUNDEN 20807/smtpd
tcp 0 60 server.domain:smtp static.195.22.239.:9392 FIN_WAIT1 -
tcp 0 0 localhost.localdo:60000 localhost.localdo:58947 VERBUNDEN 3805/postgrey.pid -
tcp 0 0 localhost.localdo:60000 localhost.localdo:58945 VERBUNDEN 3805/postgrey.pid -
tcp 0 0 localhost.localdo:60000 localhost.localdo:58951 VERBUNDEN 3805/postgrey.pid -
tcp 0 0 localhost.localdo:60000 localhost.localdo:58948 VERBUNDEN 3805/postgrey.pid -
tcp 0 0 localhost.localdo:60000 localhost.localdo:58949 VERBUNDEN 3805/postgrey.pid -
tcp 0 60 server.domain:smtp 78.178.0.183:3178 FIN_WAIT1 -
tcp 0 52 server.domain:smtp dsl88-249-17036.tt:3662 VERBUNDEN 20801/smtpd
tcp 0 0 server.domain:smtp 78.171.226.101:11606 VERBUNDEN 20674/smtpd
tcp 0 0 localhost.localdo:56846 localhost.localdo:60000 VERBUNDEN 20352/smtpd
tcp 0 0 localhost.localdo:56847 localhost.localdo:60000 VERBUNDEN 20343/smtpd
tcp 0 0 server.domain:smtp 18912179145.user.v:1832 VERBUNDEN 20804/smtpd
tcp 0 0 server.domain:smtp 90.154.238.6:1916 VERBUNDEN 20460/smtpd
tcp 0 0 localhost.localdo:60000 localhost.localdo:58938 VERBUNDEN 3805/postgrey.pid -
tcp 0 0 localhost.localdo:60000 localhost.localdo:58939 VERBUNDEN 3805/postgrey.pid -
tcp 0 0 localhost.localdo:60000 localhost.localdo:58937 VERBUNDEN 3805/postgrey.pid -
tcp 0 0 localhost.localdo:60000 localhost.localdo:58942 VERBUNDEN 3805/postgrey.pid -
tcp 0 0 server.domain:smtp e182029131.adsl.al:3388 VERBUNDEN 20442/smtpd
tcp 0 0 localhost.localdo:60000 localhost.localdo:58941 VERBUNDEN 3805/postgrey.pid -
tcp 0 1512 server.domain:smtp 77-87-127-128.rev:44479 VERBUNDEN 20444/smtpd
tcp 0 0 server.domain:smtp hilton.tolpa.net:62057 VERBUNDEN 20457/smtpd
tcp 0 0 localhost.localdo:60000 localhost.localdo:58934 VERBUNDEN 3805/postgrey.pid -
tcp 0 0 localhost.localdo:60000 localhost.localdo:58935 VERBUNDEN 3805/postgrey.pid -
tcp 0 0 server.domain:smtp weakened.doctor.vo:1463 VERBUNDEN 20678/smtpd
tcp 0 0 server.domain:36798 auckland.canonical.:www TIME_WAIT -
tcp 0 0 localhost.localdo:60000 localhost.localdo:56846 VERBUNDEN 3805/postgrey.pid -
tcp 0 0 localhost.localdo:60000 localhost.localdo:56847 VERBUNDEN 3805/postgrey.pid -
tcp 0 0 localhost.localdo:34689 localhost.localdo:60000 VERBUNDEN 20678/smtpd
tcp 0 0 localhost.localdo:34688 localhost.localdo:60000 VERBUNDEN 20613/smtpd
tcp 0 0 server.domain:smtp 89.45.146.139:4636 VERBUNDEN 20441/smtpd
tcp 0 0 localhost.localdo:37520 localhost.localdo:60000 VERBUNDEN 20807/smtpd
 

hahni

Active Member
tcp 0 0 localhost.localdo:37521 localhost.localdo:60000 VERBUNDEN 20457/smtpd
tcp 0 0 localhost.localdo:37522 localhost.localdo:60000 VERBUNDEN 20806/smtpd
tcp 0 0 localhost.localdo:37523 localhost.localdo:60000 VERBUNDEN 20803/smtpd
tcp 0 0 localhost.localdo:37524 localhost.localdo:60000 VERBUNDEN 20801/smtpd
tcp 0 0 localhost.localdo:37526 localhost.localdo:60000 VERBUNDEN 20444/smtpd
tcp 0 0 localhost.localdo:37527 localhost.localdo:60000 VERBUNDEN 20808/smtpd
tcp 0 0 localhost.localdo:37514 localhost.localdo:60000 VERBUNDEN 20611/smtpd
tcp 0 0 localhost.localdo:37515 localhost.localdo:60000 VERBUNDEN 20805/smtpd
tcp 0 0 localhost.localdo:37516 localhost.localdo:60000 VERBUNDEN 20804/smtpd
tcp 0 0 localhost.localdo:37517 localhost.localdo:60000 VERBUNDEN 20799/smtpd
tcp 0 0 localhost.localdo:37518 localhost.localdo:60000 VERBUNDEN 20802/smtpd
tcp 0 0 localhost.localdo:37519 localhost.localdo:60000 VERBUNDEN 20354/smtpd
tcp 0 0 server.domain:smtp 81.12.170.90:3535 VERBUNDEN -
tcp6 0 0 *:imaps *:* LISTEN 3866/couriertcpd
tcp6 0 0 *:pop3s *:* LISTEN 3901/couriertcpd
tcp6 0 0 *:2212 *:* LISTEN 4173/sshd
tcp6 0 0 *:pop3 *:* LISTEN 3881/couriertcpd
tcp6 0 0 *:imap2 *:* LISTEN 3846/couriertcpd
tcp6 0 0 *:www *:* LISTEN 4603/apache2
tcp6 0 0 *:ftp *:* LISTEN 15865/proftpd: (acc
tcp6 0 0 *:smtp *:* LISTEN 17500/master
tcp6 0 0 ip6-localhost:953 *:* LISTEN 4744/named
tcp6 0 0 *:https *:* LISTEN 4603/apache2
tcp6 0 0 server.domain:www cache-frr-ab08.pr:43650 VERBUNDEN -
tcp6 0 0 server.domain:www 252-207-103-86.dyn:1700 TIME_WAIT -
tcp6 0 0 ip6-localhost:36524 ip6-localhost:https TIME_WAIT -
tcp6 0 0 ip6-localhost:36525 ip6-localhost:https TIME_WAIT -
tcp6 0 0 ip6-localhost:36526 ip6-localhost:https TIME_WAIT -
tcp6 0 0 ip6-localhost:36523 ip6-localhost:https TIME_WAIT -
tcp6 0 0 server.domain:www cache-frr-ac06.pr:39843 TIME_WAIT -
tcp6 0 0 server.domain:pop3 rgnb-4db042b6.pool:1230 TIME_WAIT -
tcp6 0 0 server.domain:www cache-frr-ab04.pr:44797 TIME_WAIT -
tcp6 0 844 server.domain:2212 ::ffff:91.67.128.:50743 VERBUNDEN 21093/0
tcp6 0 0 server.domain:pop3 ::ffff:91.67.128.:50741 TIME_WAIT -
tcp6 0 0 server.domain:www cache-frr-aa09.pr:47900 TIME_WAIT -
tcp6 0 0 server.domain:www M8f42.m.pppool.de:2002 TIME_WAIT -

---
 

hahni

Active Member
Hallo Till,

besten Dank, dass du dir das noch einmal genauer angesehen hast. Nun kann ich wenigstens wieder beruhigter schlafen :)

Viele Grüße

Hahni
 

lindesbs

Member
Deine Ausgabe um 6:25

Mar 17 06:25:02 server su[28507]: + ??? root:nobody
Mar 17 06:25:02 server su[28507]: (pam_unix) session opened for user nobody by (uid=0)
Mar 17 06:25:02 server su[28507]: (pam_unix) session closed for user nobody


Das ist das updatedb Script im cron.daily mit Namens find.

Trotzalledem wuerd ich nucht so einfach aufgeben mit deinem Port 2006. Installiere Dir mal ntop und lass das ein wenig laufen. Dann kannst du nachverfolgen, wann jemand evt. mit dem Port etwas geoeffnet hat. Rootkits muessen nicht immer eine Verbindung offenhalten. DIe koennen sich alle paar Minuten melden, und wenn es was zu tun gibt, dann legen sie erst richtig los.


- Schau Dir mal deien passwd an auf Aenderungen, neue EIntraege
- was sagt lastlog ?
- wie hast du auf rootkits getestet ? chkrootkit ?
- sind bei einem ps aux unbekannte Programme am laufen oder Benutzer die nur durch eine ID angezeigt werden und nicht mittels Namen ? (z.B. root entspricht normalerweise 0)
 

hahni

Active Member
Huhu,

schön, dass du dir so viel Mühe gemacht hast, mir ausführlicher zu schreiben.

"chkrootkit" setze ich schon seit längerem ein und jeder Server, den ich neu einsetze, bekommt dies gleich von Anfang an mit installiert. Außerdem halte ich die Versionen sehr aktuell und installiere immer die neuesten Versionen.

Bei meinen letzten Durchläufen erschien nicht mehr die Meldung mit oben stehendem Port. Es wäre ja grundsätzlich auch denkbar, dass es mit "BlockHosts" zusammenhängt, welches ich seit einigen Tagen am Laufen habe!

Die "passwd"-Datei ändert sich leider sehr regelmäßig, was ja auch mit den Änderungen von und durch ISPConfig zu tun hat. Unregelmäßigkeiten konnte ich dort Gott sei Dank leider keine finden.

Mal abgesehen von 2 defacten Webseiten, die aber ja nicht durch ein Rootkit entstellt sein müssen, sondern durch den unachtsamen Umgang von Kennwörtern durch die Benutzer!

Viele Grüße

Hahni
 

Werbung

Top