Re: Fragen zu Root-Kit
Hallo Andreas,
On Tuesday 02 December 2003 19:49, Andreas Kretschmer wrote:
> ,----[ Zitat ]
[...]
> | Unterstützung für ladbare Kernel-Module. Es bietet eine per
> | Passwort geschützte entfernt nutzbare Shell, die durch ein
> | gefälschtes Paket (das die meisten Firewall-Konfigurationen umgeht)
> | gestartet wird, und versteckt Prozesse, Dateien und Verbindungen.
>
> `----
>
> Mich interessiert der letzte Satz. Ich interpretiere ihn so, daß auch
> iptables löchrig ist, oder wird es nur löchrig durch das Root-Kit?
es gibt rootkits, die ihre backdoor erst aktivieren, nachdem sie ein
speziell präpariertes ICMP-Paket (oder ein anderes Paket mit einer
speziellen Signatur in der payload) im Netzwerkverkehr bemerkt haben.
Andere fungieren gar nicht als Server, sondern bauen von sich aus eine
Verbindung auf, was auch durch ein solches "Trigger-Paket" ausgelöst
werden kann. In vielen Privat-Setups, wo jede Verbindung nach außen
erlaubt ist und nur nach innen gefiltert wird, funktioniert das
perfekt.
Ich meine auch, vor einiger Zeit etwas über "sniffer based rootkits"
gelesen zu haben, von denen ich allerdings nicht weiß, ob sie in der
Praxis auch existieren oder nur ein Konzept sind. Auch hier lauscht das
rootkit im Netzwerkverkehr. Um den kompromittierten Host zu erreichen,
schickt man ein präpariertes Paket an einen beliebigen Host im Segment.
Das rootkit kriegt das mit und antwortet darauf, allerdings mit dem
Absender, den aus auslösende Paket zu erreichen versuchte. Der Effekt
ist die Verschleierung des kompromittierten Rechners (naja, nicht so
effizient, auf MAC-Ebene wird da nix verschleiert).
Also auf Deine Frage: Du bist doch häufig in dcsf zu lesen und kennst
die Möglichkeiten von iptables. Ich würde nicht sagen, dass iptables
löchrig ist sondern behaupte als Arbeitshypothese, dass man bei
entsprechend restriktiver policy gute Karten hat, wenngleich es
wahrscheinlich nicht ganz einfach ist, die ganzen Szenarien durch
entsprechende Regeln (und unter Verwendung der passenden Module)
abzudecken.
Schöne Grüße,
Stephan
--
/* Stephan Hakuli // http://www.hakuli.net // GPG-ID 4006A977
Encryption with GPG or PGP is strongly encouraged, my public key
is available on my website or on common public keyservers. */
Reply to: