Re: Fragen zu Root-Kit

To: debian-user-german@lists.debian.org
Subject: Re: Fragen zu Root-Kit
From: Stephan Hakuli <hakuli@skmail.ikp.physik.tu-darmstadt.de>
Date: Wed, 3 Dec 2003 11:59:45 +0100
Message-id: <[🔎] 200312031159.45443.hakuli@skmail.ikp.physik.tu-darmstadt.de>
In-reply-to: <[🔎] 20031202184917.GA4581@kaufbach.delug.de>
References: <[🔎] 20031202184917.GA4581@kaufbach.delug.de>

Hallo Andreas,

On Tuesday 02 December 2003 19:49, Andreas Kretschmer wrote:
> ,----[  Zitat  ]
[...]
> | Unterstützung für ladbare Kernel-Module. Es bietet eine per
> | Passwort geschützte entfernt nutzbare Shell, die durch ein
> | gefälschtes Paket (das die meisten Firewall-Konfigurationen umgeht)
> | gestartet wird, und versteckt Prozesse, Dateien und Verbindungen.
>
> `----
>
> Mich interessiert der letzte Satz. Ich interpretiere ihn so, daß auch
> iptables löchrig ist, oder wird es nur löchrig durch das Root-Kit?

es gibt rootkits, die ihre backdoor erst aktivieren, nachdem sie ein 
speziell präpariertes ICMP-Paket (oder ein anderes Paket mit einer 
speziellen Signatur in der payload) im Netzwerkverkehr bemerkt haben. 
Andere fungieren gar nicht als Server, sondern bauen von sich aus eine 
Verbindung auf, was auch durch ein solches "Trigger-Paket" ausgelöst 
werden kann. In vielen Privat-Setups, wo jede Verbindung nach außen 
erlaubt ist und nur nach innen gefiltert wird, funktioniert das 
perfekt. 

Ich meine auch, vor einiger Zeit etwas über "sniffer based rootkits" 
gelesen zu haben, von denen ich allerdings nicht weiß, ob sie in der 
Praxis auch existieren oder nur ein Konzept sind. Auch hier lauscht das 
rootkit im Netzwerkverkehr. Um den kompromittierten Host zu erreichen, 
schickt man ein präpariertes Paket an einen beliebigen Host im Segment. 
Das rootkit kriegt das mit und antwortet darauf, allerdings mit dem 
Absender, den aus auslösende Paket zu erreichen versuchte. Der Effekt 
ist die Verschleierung des kompromittierten Rechners (naja, nicht so 
effizient, auf MAC-Ebene wird da nix verschleiert).

Also auf Deine Frage: Du bist doch häufig in dcsf zu lesen und kennst 
die Möglichkeiten von iptables. Ich würde nicht sagen, dass iptables 
löchrig ist sondern behaupte als Arbeitshypothese, dass man bei 
entsprechend restriktiver policy gute Karten hat, wenngleich es 
wahrscheinlich nicht ganz einfach ist, die ganzen Szenarien durch 
entsprechende Regeln (und unter Verwendung der passenden Module) 
abzudecken.

Schöne Grüße,
Stephan
-- 
/* Stephan Hakuli   //   http://www.hakuli.net  //   GPG-ID 4006A977 
   Encryption with GPG or PGP is strongly encouraged,  my public key 
   is  available  on  my  website  or on  common  public  keyservers. */

Reply to:

References:
- Fragen zu Root-Kit
  - From: Andreas Kretschmer <kretschmer@kaufbach.delug.de>

Prev by Date: Re: kword ohne deutsche Menüs - Warum?
Next by Date: Re: kword ohne deutsche Menüs - Warum?
Previous by thread: Re: Fragen zu Root-Kit
Next by thread: Timidity Patches
Index(es):
- Date
- Thread