Re: 2 Netzwerkkarten in einem Rechner

To: debian-user-de@jfl.de
Subject: Re: 2 Netzwerkkarten in einem Rechner
From: Mathias Gygax <mg@trash.net>
Date: Mon, 15 Jan 2001 13:41:25 +0100
Message-id: <[🔎] 20010115134125.A16364@stinky.trash.net>
Mail-followup-to: debian-user-de@jfl.de
In-reply-to: <[🔎] 20010115124327.A1093@chuzpe.logic.univie.ac.at>; from ametzler@logic.univie.ac.at on Mon, Jan 15, 2001 at 12:43:28PM +0100
References: <[🔎] 20010112132317.A1211@rothmedia.net> <[🔎] 20010114035238.B1066@scheibenwelt> <[🔎] 20010115092639.A548@rothmedia.net> <[🔎] 20010115103848.A3913@stinky.trash.net> <[🔎] 20010115124327.A1093@chuzpe.logic.univie.ac.at>

On Mon, Jan 15, 2001 at 12:43:28PM +0100, Andreas Metzler wrote:

> Wenn ein Eindringling root Rechte bekommen hat (das braucht er doch, um
> Kernel-Module und lsmod austauschen zu koennen), ist aber doch sowieso
> schon alles zu spaet, dann kann er hat auch ein konventionelles
> Rootkit installieren.

vollkommen richtig. module kann nur der root installieren, d.h. muss die
box zuerst gerootet werden.

ich spreche aber von backdoors.

der vorteil
von modulen ist allerdings, dann mit file checksummen prüfer (tripwire
und div. perl scripts) keine veränderungen im dateisystem stattfinden
sondern via ein modul die syscalls (z.b. open, set(e)uid) direkt
manipuliert werden können. ok, wenn der admin die checksummen auf der
pladde aufbewahrt und script kiddies noch mit chattr verwirrt, hat er eh
verloren und man kann die checksummen neu generieren. alternative
wären verschlüsselte filesysteme... hat er sie aber,
so wie man's machen sollte, auf einer schreibgeschützten diskette die in
einem tresor aufbewahrt wird, wird's schon schwieriger etwas im filesystem 
unbemerkt zu verändern. 

backdoors im filesystem sind lame. syscall
redirecting und process accounting manipulationen im kernel space sind für
den durchschnittlichen sysadmin kaum aufzudecken.

das ganze ist schon ne weile her seitdem ich mich mit dem befasst habe.
es kann gut sein, dass die neueren kernel das (fixe und bestehnde syscalls)
umbiegen nicht mehr erlauben, sprich an das modul subsystem exportiert
werden.. k.a. die fülle an treibern die direkten einfluss
auf den kernel space haben und die aber als modul realisiert sind und somit von
einem cracker nach strich und faden manipuliert werden können, lässt aber der 
kreativität freien lauf.

bin kein versierter kernel hacker... wenn jemand was genaueres weiss bitte melden.
um unnötigen FUD zu vermeiden: wer schon etwas stöbern will: AFAIK hat Van Hauser
und Phrack mal einen Artikel darüber. IIRC in Ausgabe 52.
http://phrack.infonexus.com

--
-----------------------------------------------------------
Um sich aus der Liste auszutragen schicken Sie bitte eine
E-Mail an debian-user-de-request@lehmanns.de die im Subject
"unsubscribe <deine_email_adresse>" enthaelt.
Bei Problemen bitte eine Mail an: Jan.Otto@Lehmanns.de
-----------------------------------------------------------

687 eingetragene Mitglieder in dieser Liste.

Reply to:

Follow-Ups:
- Re: 2 Netzwerkkarten in einem Rechner
  - From: Andreas Metzler <ametzler@downhill.at.eu.org>
- Re: 2 Netzwerkkarten in einem Rechner
  - From: Marko Schulz <in6x059@public.uni-hamburg.de>

References:
- [Debian] 2 Netzwerkkarten in einem Rechner
  - From: Christian Roth <cr@rothmedia.net>
- Re: 2 Netzwerkkarten in einem Rechner
  - From: Marko Schulz <in6x059@public.uni-hamburg.de>
- Re: 2 Netzwerkkarten in einem Rechner
  - From: Christian Roth <cr@rothmedia.net>
- Re: 2 Netzwerkkarten in einem Rechner
  - From: Mathias Gygax <mg@trash.net>
- Re: 2 Netzwerkkarten in einem Rechner
  - From: Andreas Metzler <ametzler@logic.univie.ac.at>

Prev by Date: [Debian] TDSL und PADO packets
Next by Date: Re: Problem mit Apache
Previous by thread: Re: 2 Netzwerkkarten in einem Rechner
Next by thread: Re: 2 Netzwerkkarten in einem Rechner
Index(es):
- Date
- Thread