Re: root-kits aufspueren

To: Debian User german <debian-user-german@lists.debian.org>
Subject: Re: root-kits aufspueren
From: Michael Stummvoll <michael@stummi.org>
Date: Tue, 10 Jan 2012 22:39:06 +0100
Message-id: <[🔎] 4F0CAFFA.2040103@stummi.org>
In-reply-to: <[🔎] 4F0CAE56.5080004@stummi.org>
References: <[🔎] 4F06C26A.2010404@gmail.com> <[🔎] 4F0971BE.2000006@stummi.org> <[🔎] 20120108105401.GB3679@marcel-laptop> <[🔎] 20120108135851.5bb1c89b@hal.movb.de> <[🔎] 20120108132510.GF4555@wasteland.homelinux.net> <[🔎] 4F0C9E41.5010109@gmail.com> <[🔎] CAOX0MCvk9_yQzrfg5QzhwWAnXT-7oGbNDsFdiqRaBx+yOBsE-g@mail.gmail.com> <[🔎] 4F0CAE56.5080004@stummi.org>

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Um das ganze ein wenig auszuführen:

Wenn man ein Rootkit auf seinem System entdeckt, ist der Ansatz
"wegmachen und gut is" eine absolut falsche herangehensweise. Wenn ich
in meine Wohnung komme und sehe, dass plötzlich alles Verwüstet ist,
räume ich auch nicht einfach auf und vergesse den Vorfall wieder.

Als erstes gilt es zu klären, wie das rootkit überhaupt auf das System
gekommen ist. Anfällige version irgendeines Services laufen?
(Muss nicht unbedingt ssh sein. Vlt hat der Angreifer ein Leck in
Service foobar verwendet, um sich ein Hintertürchen zu öffnen mittels
einem rootkit-nutzer und einem dezidierten sshd vlt?)
Wenn du das Problem gefunden hast, und es nicht bei dir liegt,
informiere auf jedenfall die zuständigen Maintainer.

Dannach kannst du das Problem beheben. Da du aber nie genau weisst,
was das rootkit nun bei dir gemacht hat, bzw welche weiteren
hintertürchen es geöffnet hat, ist der einzig sichere weg, ein
frisches Debian drüber zu installieren.

Grüße,
Micha
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.10 (Darwin)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/

iEYEARECAAYFAk8Mr/oACgkQ+Tu6A279W0DTpgCdFPBUEcyIFf3w538ZYiWCcvbw
ojYAoNV/gKZdUmRYR7WP/FbaBQVru7BC
=KrK0
-----END PGP SIGNATURE-----

Reply to:

Follow-Ups:
- Re: root-kits aufspueren
  - From: Magnus Wagner <debian-user-german@heinzigartig.de>

References:
- root-kits aufspueren
  - From: SchmiTTT <cv.schmitt@googlemail.com>
- Re: root-kits aufspueren
  - From: Michael Stummvoll <michael@stummi.org>
- Re: root-kits aufspueren
  - From: Marcel Hüttenberger <papachaotica@googlemail.com>
- Re: root-kits aufspueren
  - From: Tobias Nissen <tn@movb.de>
- Re: root-kits aufspueren
  - From: Jochen Spieker <ml@well-adjusted.de>
- Re: root-kits aufspueren
  - From: SchmiTTT <cv.schmitt@googlemail.com>
- Re: root-kits aufspueren
  - From: Niels Jende <nielsjende@googlemail.com>
- Re: root-kits aufspueren
  - From: Michael Stummvoll <michael@stummi.org>

Prev by Date: Re: root-kits aufspueren
Next by Date: Re: root-kits aufspueren
Previous by thread: Re: root-kits aufspueren
Next by thread: Re: root-kits aufspueren
Index(es):
- Date
- Thread