On 8/18/05, <b class="gmail_sendername">Brian Walker</b> <<a href="mailto:bfwalker@gmail.com">bfwalker@gmail.com</a>> wrote:<div><span class="gmail_quote"></span><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
OK - carrying on from the initial intrusion, and searching the disk, I ran<br>
<br>
# /usr/sbin/chkrootkit<br>
<br>
and most was negative apart from this: <br>
<br>
Checking `bindshell'... INFECTED (PORTS:  1524 31337)<br>
<br>
Any ideas on removal and protection? How should I detect who placed it there?<br><span class="sg">
<br>
Brian<br>

</span></blockquote></div><br>
And solved - for those who - like me - fail to google before posting:
this seems to be normal procedure for chkrootkit and portsentry. No
intrusion .... but as a matter of interest, once security is taken
seriously, on a single machine, run at work - the time consumed is
immense. Thankfully Ubuntu has hardened the system by default ...<br>
<br>
Brian<br>