Hallo,
ich habe heute von meinem bereits ein paar Monate laufenden Ossec folgende Warnung erhalten:
ZitatAlles anzeigenOSSEC HIDS Notification.
2010 Aug 05 06:57:23
Received From: netcup->rootcheck
Rule: 510 fired (level 7) -> "Host-based anomaly detection event (rootcheck)."
Portion of the log(s):
Port '32768'(udp) hidden. Kernel-level rootkit or trojaned version of netstat.
Kann ich davon ausgehen, dass das an der Virtualisierung mit shared kernel liegt? Mich irritiert etwas, dass so eine Meldung dann nicht bereits eher aufgetreten ist.
Von außen gesehen ist der Port zu. Einen anderen Server im selben Subnetz hab ich leider nicht