Re: Fragen zu Root-Kit
Hallo,
Andreas Kretschmer <kretschmer@kaufbach.delug.de>:
>| Es bietet eine per Passwort
>| geschützte entfernt nutzbare Shell, die durch ein gefälschtes Paket
>| (das die meisten Firewall-Konfigurationen umgeht) gestartet wird, und
>| versteckt Prozesse, Dateien und Verbindungen.
>Mich interessiert der letzte Satz. Ich interpretiere ihn so, daß auch
>iptables löchrig ist, oder wird es nur löchrig durch das Root-Kit?
Nach meinem Verständnis geht es in dem obigen Satz eher um
vorgelagerte Firewall-Systeme, die zwischen dem Internet und dem
angegriffenen System filtern und selber noch nicht kompromittiert
wurden.
Einige kommerzielle Firewall-Produkte sind lassen z.B. jegliche UDP
Pakete passieren, wenn als Absender-Portnummer 53 gewählt wird. Andere
lassen grundsätzlich alle Paket mit Protokollnummer 50 (ESP) oder 47
(GRE) durch, wenn in der Konfiguration "VPN" angeklickt wurde.
Gruß, Harald
--
Harald Weidner hweidner@gmx.net
Reply to: