Re: Veränderte Dateien finden
Am Thu, 30. November 2006 09:45 schrieb Jan Fricke:
> Hallo!
> Leider vergaßen wir, das root-Paßwort zu setzen, also wurde der PC
> gehackt. OK, Fehler behoben, aber wir haben eine Kopie vom gehackten
> System (in einem Unterverzeichnis). Wie kann man jetzt feststellen,
> welche Dateien modifiziert wurden?
>
> Nebenbei:
> chkrootkit -r /daten/altes-system-gehackt/mnt/
> hat nichts gefunden :-(
Such mal nach Forensischen Tools, damit kann man Platteninhalte analysieren
wie du es vor hast. Eine forensische Analyse soll aber alles andere als
trivial sein und verlangt einiges an Fachwissen.
Ein
apt-cache search forensic
gibt erste Hinweise.
Auch auf den Web-Seiten, z.B. der von sleuthkit sollte sich weitere
Dokumentationen finden lassen.
Tschüss,
Wolfgang
Reply to: