[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Was sagt mir diese chkrootkit-Meldung

On Sun, Jan 09, 2005 at 07:26:42PM +0100, Sven Hoexter wrote:
> On Sun, Jan 09, 2005 at 06:54:43PM +0100, Nico Jochens wrote:
> > On Sun, Jan 09, 2005 at 06:35:58PM +0100, Sven Hoexter wrote:
> > > On Sun, Jan 09, 2005 at 06:11:06PM +0100, Nico Jochens wrote:
> > 
> > > > Ja schön, weitere Programme kamen ja auch schon von Sven. Nun ist mein
> > > > System schon mehrmal upgedatet. Ändern sich da nicht auch die
> > > > MD5-Summen?
> > 
> > > Natuerlich aendern die sich, entsprechend muss man auch nach jedem update
> > > die aide db (jetzt mal als Beispiel) updaten.  Das laest sich nicht vermeiden.
> > > Auf stable Systemen aendert sich aber im System Bereich normalerweise nur was
> > > wenn security updates kommen und bei der Gelegenheit dated man dann halt die
> > > db mit ab und kopiert sie wieder an $sicheren_platz. Auf unstable oder testing
> > > Systemen mit taeglichen updates muss man da halt irgendwo fuer sich selber
> > > einen Kompromiss finden.
> > > Man kann sich das ganze dann da halt als Kompromiss so anpassen das aide
> > > jede Nacht laeuft und dann halt das db file ueberschreibt und nur eine
> > > email Verschickt mit den Aenderungen.
> > 
> > OK alles klar. D.h. aber auch das ich mein jetziges Problem nicht mehr
> > auf diese Art lösen kann.
> > Um mich abzusichern und auch weil ich nicht glaube das ernsthaft was
> > passiert ist, werde ich also die betroffenen Pakete neu installieren.
> > Ich möchte aber nicht de- und wieder installieren sondern ein zwingendes
> > drüberinstallieren. Geht das via apt?
> apt-get --reinstall install $package

Danke

> Wenn Du mich fragst voellig uebertrieben wenn Du sonst keine Anzeichen
> fuer einen Einbruch findest.

Mag ja sein aber bei zwei Paketen, wovon ich eines wahrscheinlich sogar
löschen kann IMHO nicht sooo der Aufwand.

> Ansonsten entpacke aus einem deb paket aus sicherer quelle das binary und
> vergleiche die md5 summen von Hand.

Naja aber ich dachte genau das geht eben nicht, da mein Rechner wie
gesagt bereits mehrmals geupdatet wurde, d.h. das das Originalbinary und
meine Version ja gar nicht übereinstimmen können.

schöne Grüße aus Hamburg,

Nico

-- 
It`s not a trick...it`s Linux!	|  web: www.linico.de
   -----------°°-----------	|  mailto: nico@linico.de
  Nico Jochens - MCSE und CNA	|  Registered Linux User #313928
       Hamburg, Germany	        |  PGP-Signature: kommt noch
Reply to: