# rkhunter - Checking for TCP port 2006



## hahni (17. März 2008)

hallo zusammen,

bei oben stehendem check steht nun nicht mehr "not found" sondern vielmehr "warning"! was könnte da passiert sein? rootkits etc. wurden keine gefunden!

viele grüße

hahni


----------



## hahni (17. März 2008)

und was könnte das sein:

---
Mar 17 06:25:02 server su[28507]: + ??? root:nobody
Mar 17 06:25:02 server su[28507]: (pam_unix) session opened for user nobody by (uid=0)
Mar 17 06:25:02 server su[28507]: (pam_unix) session closed for user nobody
Mar 17 06:25:02 server su[28509]: + ??? root:nobody
Mar 17 06:25:02 server su[28509]: (pam_unix) session opened for user nobody by (uid=0)
Mar 17 06:25:02 server su[28509]: (pam_unix) session closed for user nobody
Mar 17 06:25:02 server su[28511]: + ??? root:nobody
Mar 17 06:25:02 server su[28511]: (pam_unix) session opened for user nobody by (uid=0)
Mar 17 06:25:49 server su[28511]: (pam_unix) session closed for user nobody
---


----------



## Till (18. März 2008)

Poste mal die Ausgabe von:

netstat -tap


----------



## hahni (18. März 2008)

alle als server.domain gekennzeichneten einträge sind der hostname des servers und wurden von mir umbenannt 

---
 Aktive Internetverbindungen (Server und stehende Verbindungen)
  Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
  tcp        0      0 localhost.localdo:60000 *:*                     LISTEN     3805/postgrey.pid -
  tcp        0      0 *:mysql                 *:*                     LISTEN     3992/mysqld
  tcp        0      0 *:81                    *:*                     LISTEN     4344/ispconfig_http
  tcp        0      0 server.domain:domain *:*                     LISTEN     4744/named
  tcp        0      0 localhost.locald:domain *:*                     LISTEN     4744/named
  tcp        0      0 *:smtp                  *:*                     LISTEN     17500/master
  tcp        0      0 server.domain:smtp 80.121.194.87:1191      SYN_RECV   -
  tcp        0      0 server.domain:smtp 80.121.194.87:1203      SYN_RECV   -
  tcp        0      0 server.domain:smtp 80.121.194.87:1190      SYN_RECV   -
  tcp        0      0 server.domain:smtp 80.121.194.87:1193      SYN_RECV   -
  tcp        0      0 localhost.localdoma:953 *:*                     LISTEN     4744/named
  tcp        0      0 server.domain:smtp static.195.22.239.:6425 VERBUNDEN  20673/smtpd
  tcp        0      0 server.domain:smtp 221.234.70.133:3562     VERBUNDEN  20612/smtpd
  tcp        0      0 server.domain:smtp 92.80.229.84:1586       VERBUNDEN  20677/smtpd
  tcp        0      0 server.domain:smtp host-091-097-121-1:1536 VERBUNDEN  20352/smtpd
  tcp        0      0 server.domain:smtp 200-206-136-123.c:22736 VERBUNDEN  20443/smtpd
  tcp        0      0 server.domain:smtp 93-80-2-145.broad:63030 VERBUNDEN  20808/smtpd
  tcp        0      0 server.domain:39415 tethys.zih.tu-dresd:www TIME_WAIT  -
  tcp        0      0 server.domain:smtp 78.191.41.118:2151      VERBUNDEN  20439/smtpd
  tcp        0      0 server.domain:smtp dct138.neoplus.ad:20053 VERBUNDEN  20343/smtpd
  tcp        0      0 server.domain:smtp 92.81.11.233:58914      VERBUNDEN  20446/smtpd
  tcp        0      0 server.domain:smtp mail.baskets-dyna:33533 TIME_WAIT  -
  tcp        0      0 server.domain:smtp cable201-233-124-5:3381 TIME_WAIT  -
  tcp        0      0 localhost.localdo:60000 localhost.localdo:37514 VERBUNDEN  3805/postgrey.pid -
  tcp        0      0 localhost.localdo:60000 localhost.localdo:37515 VERBUNDEN  3805/postgrey.pid -
  tcp        0      0 server.domain:smtp jserv91.hosp.go.j:45091 VERBUNDEN  20669/smtpd
  tcp        0      0 localhost.localdo:60000 localhost.localdo:37518 VERBUNDEN  3805/postgrey.pid -
  tcp        0      0 localhost.localdo:60000 localhost.localdo:37519 VERBUNDEN  3805/postgrey.pid -
  tcp        0      0 localhost.localdo:60000 localhost.localdo:37516 VERBUNDEN  3805/postgrey.pid -
  tcp        0      0 localhost.localdo:60000 localhost.localdo:37517 VERBUNDEN  3805/postgrey.pid -
  tcp        0      0 localhost.localdo:60000 localhost.localdo:34688 VERBUNDEN  3805/postgrey.pid -
  tcp        0      0 localhost.localdo:60000 localhost.localdo:34689 VERBUNDEN  3805/postgrey.pid -
  tcp        0      0 localhost.localdo:60000 localhost.localdo:37522 VERBUNDEN  3805/postgrey.pid -
  tcp        0      0 localhost.localdo:60000 localhost.localdo:37523 VERBUNDEN  3805/postgrey.pid -
  tcp        0      0 localhost.localdo:60000 localhost.localdo:37520 VERBUNDEN  3805/postgrey.pid -
  tcp        0      0 localhost.localdo:60000 localhost.localdo:37521 VERBUNDEN  3805/postgrey.pid -
  tcp        0      0 localhost.localdo:60000 localhost.localdo:37526 VERBUNDEN  3805/postgrey.pid -
  tcp        0      0 localhost.localdo:60000 localhost.localdo:37527 VERBUNDEN  3805/postgrey.pid -
  tcp        0      0 localhost.localdo:60000 localhost.localdo:37524 VERBUNDEN  3805/postgrey.pid -
  tcp        0      0 localhost.localdo:58952 localhost.localdo:60000 VERBUNDEN  20673/smtpd
  tcp        0      0 localhost.localdo:58948 localhost.localdo:60000 VERBUNDEN  20674/smtpd
  tcp        0      0 localhost.localdo:58949 localhost.localdo:60000 VERBUNDEN  20676/smtpd
  tcp        0      0 localhost.localdo:58951 localhost.localdo:60000 VERBUNDEN  20669/smtpd
  tcp        0      0 localhost.localdo:58945 localhost.localdo:60000 VERBUNDEN  20612/smtpd
  tcp        0      0 localhost.localdo:58946 localhost.localdo:60000 VERBUNDEN  20614/smtpd
  tcp        0      0 localhost.localdo:58947 localhost.localdo:60000 VERBUNDEN  20677/smtpd
  tcp        0      0 localhost.localdo:58941 localhost.localdo:60000 VERBUNDEN  20460/smtpd
  tcp        0      0 localhost.localdo:58942 localhost.localdo:60000 VERBUNDEN  20443/smtpd
  tcp        0      0 localhost.localdo:58937 localhost.localdo:60000 VERBUNDEN  20441/smtpd
  tcp        0      0 localhost.localdo:58938 localhost.localdo:60000 VERBUNDEN  20459/smtpd
  tcp        0      0 localhost.localdo:58939 localhost.localdo:60000 VERBUNDEN  20439/smtpd
  tcp        0      0 localhost.localdo:58934 localhost.localdo:60000 VERBUNDEN  20446/smtpd
  tcp        0      0 localhost.localdo:58935 localhost.localdo:60000 VERBUNDEN  20442/smtpd
  tcp        0      0 server.domain:smtp 212.200.196.5:2911      VERBUNDEN  20613/smtpd
  tcp        0    181 server.domain:smtp 190-76-89-255.dyn.:4028 VERBUNDEN  20676/smtpd
  tcp        0      0 localhost.localdo:60000 localhost.localdo:58952 VERBUNDEN  3805/postgrey.pid -
  tcp        0      0 localhost.localdo:60000 localhost.localdo:58946 VERBUNDEN  3805/postgrey.pid -
  tcp        0    490 server.domain:smtp 77-87-127-128.rev:44480 VERBUNDEN  20807/smtpd
  tcp        0     60 server.domain:smtp static.195.22.239.:9392 FIN_WAIT1  -
  tcp        0      0 localhost.localdo:60000 localhost.localdo:58947 VERBUNDEN  3805/postgrey.pid -
  tcp        0      0 localhost.localdo:60000 localhost.localdo:58945 VERBUNDEN  3805/postgrey.pid -
  tcp        0      0 localhost.localdo:60000 localhost.localdo:58951 VERBUNDEN  3805/postgrey.pid -
  tcp        0      0 localhost.localdo:60000 localhost.localdo:58948 VERBUNDEN  3805/postgrey.pid -
  tcp        0      0 localhost.localdo:60000 localhost.localdo:58949 VERBUNDEN  3805/postgrey.pid -
  tcp        0     60 server.domain:smtp 78.178.0.183:3178       FIN_WAIT1  -
  tcp        0     52 server.domain:smtp dsl88-249-17036.tt:3662 VERBUNDEN  20801/smtpd
  tcp        0      0 server.domain:smtp 78.171.226.101:11606    VERBUNDEN  20674/smtpd
  tcp        0      0 localhost.localdo:56846 localhost.localdo:60000 VERBUNDEN  20352/smtpd
  tcp        0      0 localhost.localdo:56847 localhost.localdo:60000 VERBUNDEN  20343/smtpd
  tcp        0      0 server.domain:smtp 18912179145.user.v:1832 VERBUNDEN  20804/smtpd
  tcp        0      0 server.domain:smtp 90.154.238.6:1916       VERBUNDEN  20460/smtpd
  tcp        0      0 localhost.localdo:60000 localhost.localdo:58938 VERBUNDEN  3805/postgrey.pid -
  tcp        0      0 localhost.localdo:60000 localhost.localdo:58939 VERBUNDEN  3805/postgrey.pid -
  tcp        0      0 localhost.localdo:60000 localhost.localdo:58937 VERBUNDEN  3805/postgrey.pid -
  tcp        0      0 localhost.localdo:60000 localhost.localdo:58942 VERBUNDEN  3805/postgrey.pid -
  tcp        0      0 server.domain:smtp e182029131.adsl.al:3388 VERBUNDEN  20442/smtpd
  tcp        0      0 localhost.localdo:60000 localhost.localdo:58941 VERBUNDEN  3805/postgrey.pid -
  tcp        0   1512 server.domain:smtp 77-87-127-128.rev:44479 VERBUNDEN  20444/smtpd
  tcp        0      0 server.domain:smtp hilton.tolpa.net:62057  VERBUNDEN  20457/smtpd
  tcp        0      0 localhost.localdo:60000 localhost.localdo:58934 VERBUNDEN  3805/postgrey.pid -
  tcp        0      0 localhost.localdo:60000 localhost.localdo:58935 VERBUNDEN  3805/postgrey.pid -
  tcp        0      0 server.domain:smtp weakened.doctor.vo:1463 VERBUNDEN  20678/smtpd
  tcp        0      0 server.domain:36798 auckland.canonical.:www TIME_WAIT  -
  tcp        0      0 localhost.localdo:60000 localhost.localdo:56846 VERBUNDEN  3805/postgrey.pid -
  tcp        0      0 localhost.localdo:60000 localhost.localdo:56847 VERBUNDEN  3805/postgrey.pid -
  tcp        0      0 localhost.localdo:34689 localhost.localdo:60000 VERBUNDEN  20678/smtpd
  tcp        0      0 localhost.localdo:34688 localhost.localdo:60000 VERBUNDEN  20613/smtpd
  tcp        0      0 server.domain:smtp 89.45.146.139:4636      VERBUNDEN  20441/smtpd
  tcp        0      0 localhost.localdo:37520 localhost.localdo:60000 VERBUNDEN  20807/smtpd


----------



## hahni (18. März 2008)

tcp        0      0 localhost.localdo:37521 localhost.localdo:60000 VERBUNDEN  20457/smtpd
  tcp        0      0 localhost.localdo:37522 localhost.localdo:60000 VERBUNDEN  20806/smtpd
  tcp        0      0 localhost.localdo:37523 localhost.localdo:60000 VERBUNDEN  20803/smtpd
  tcp        0      0 localhost.localdo:37524 localhost.localdo:60000 VERBUNDEN  20801/smtpd
  tcp        0      0 localhost.localdo:37526 localhost.localdo:60000 VERBUNDEN  20444/smtpd
  tcp        0      0 localhost.localdo:37527 localhost.localdo:60000 VERBUNDEN  20808/smtpd
  tcp        0      0 localhost.localdo:37514 localhost.localdo:60000 VERBUNDEN  20611/smtpd
  tcp        0      0 localhost.localdo:37515 localhost.localdo:60000 VERBUNDEN  20805/smtpd
  tcp        0      0 localhost.localdo:37516 localhost.localdo:60000 VERBUNDEN  20804/smtpd
  tcp        0      0 localhost.localdo:37517 localhost.localdo:60000 VERBUNDEN  20799/smtpd
  tcp        0      0 localhost.localdo:37518 localhost.localdo:60000 VERBUNDEN  20802/smtpd
  tcp        0      0 localhost.localdo:37519 localhost.localdo:60000 VERBUNDEN  20354/smtpd
  tcp        0      0 server.domain:smtp 81.12.170.90:3535       VERBUNDEN  -
  tcp6       0      0 *:imaps                 *:*                     LISTEN     3866/couriertcpd
  tcp6       0      0 *op3s                 *:*                     LISTEN     3901/couriertcpd
  tcp6       0      0 *:2212                  *:*                     LISTEN     4173/sshd
  tcp6       0      0 *op3                  *:*                     LISTEN     3881/couriertcpd
  tcp6       0      0 *:imap2                 *:*                     LISTEN     3846/couriertcpd
  tcp6       0      0 *:www                   *:*                     LISTEN     4603/apache2
  tcp6       0      0 *:ftp                   *:*                     LISTEN     15865/proftpd: (acc
  tcp6       0      0 *:smtp                  *:*                     LISTEN     17500/master
  tcp6       0      0 ip6-localhost:953       *:*                     LISTEN     4744/named
  tcp6       0      0 *:https                 *:*                     LISTEN     4603/apache2
  tcp6       0      0 server.domain:www cache-frr-ab08.pr:43650 VERBUNDEN  -
  tcp6       0      0 server.domain:www 252-207-103-86.dyn:1700 TIME_WAIT  -
  tcp6       0      0 ip6-localhost:36524     ip6-localhost:https     TIME_WAIT  -
  tcp6       0      0 ip6-localhost:36525     ip6-localhost:https     TIME_WAIT  -
  tcp6       0      0 ip6-localhost:36526     ip6-localhost:https     TIME_WAIT  -
  tcp6       0      0 ip6-localhost:36523     ip6-localhost:https     TIME_WAIT  -
  tcp6       0      0 server.domain:www cache-frr-ac06.pr:39843 TIME_WAIT  -
  tcp6       0      0 server.domainop3 rgnb-4db042b6.pool:1230 TIME_WAIT  -
  tcp6       0      0 server.domain:www cache-frr-ab04.pr:44797 TIME_WAIT  -
  tcp6       0    844 server.domain:2212 ::ffff:91.67.128.:50743 VERBUNDEN  21093/0
  tcp6       0      0 server.domainop3 ::ffff:91.67.128.:50741 TIME_WAIT  -
  tcp6       0      0 server.domain:www cache-frr-aa09.pr:47900 TIME_WAIT  -
  tcp6       0      0 server.domain:www M8f42.m.pppool.de:2002  TIME_WAIT  -

---


----------



## hahni (24. März 2008)

hallo till,

hast du hier irgendwelche aufflälligkeiten feststellen können?

viele grüße

hahni


----------



## Till (24. März 2008)

Das sieht soweit alles ok aus.


----------



## hahni (24. März 2008)

Hallo Till,

besten Dank, dass du dir das noch einmal genauer angesehen hast. Nun kann ich wenigstens wieder beruhigter schlafen 

Viele Grüße

Hahni


----------



## lindesbs (24. März 2008)

Deine Ausgabe um 6:25 

 Mar 17 06:25:02 server su[28507]: + ??? root:nobody
Mar 17 06:25:02 server su[28507]: (pam_unix) session opened for user nobody by (uid=0)
Mar 17 06:25:02 server su[28507]: (pam_unix) session closed for user nobody


Das ist das updatedb Script im cron.daily mit Namens find.

Trotzalledem wuerd ich nucht so einfach aufgeben mit deinem Port 2006. Installiere Dir mal ntop und lass das ein wenig laufen. Dann kannst du nachverfolgen, wann jemand evt. mit dem Port etwas geoeffnet hat. Rootkits muessen nicht immer eine Verbindung offenhalten. DIe koennen sich alle paar Minuten melden, und wenn es was zu tun gibt, dann legen sie erst richtig los.


- Schau Dir mal deien passwd an auf Aenderungen, neue EIntraege
- was sagt lastlog ?
- wie hast du auf rootkits getestet ? chkrootkit ?
- sind bei einem ps aux unbekannte Programme am laufen oder Benutzer die nur durch eine ID angezeigt werden und nicht mittels Namen ? (z.B. root entspricht normalerweise 0)


----------



## hahni (24. März 2008)

Huhu,

schön, dass du dir so viel Mühe gemacht hast, mir ausführlicher zu schreiben.

"chkrootkit" setze ich schon seit längerem ein und jeder Server, den ich neu einsetze, bekommt dies gleich von Anfang an mit installiert. Außerdem halte ich die Versionen sehr aktuell und installiere immer die neuesten Versionen.

Bei meinen letzten Durchläufen erschien nicht mehr die Meldung mit oben stehendem Port. Es wäre ja grundsätzlich auch denkbar, dass es mit "BlockHosts" zusammenhängt, welches ich seit einigen Tagen am Laufen habe!

Die "passwd"-Datei ändert sich leider sehr regelmäßig, was ja auch mit den Änderungen von und durch ISPConfig zu tun hat. Unregelmäßigkeiten konnte ich dort Gott sei Dank leider keine finden.

Mal abgesehen von 2 defacten Webseiten, die aber ja nicht durch ein Rootkit entstellt sein müssen, sondern durch den unachtsamen Umgang von Kennwörtern durch die Benutzer!

Viele Grüße

Hahni


----------

