Re: Veränderte Dateien finden
Am Thu, 30. November 2006 10:48 schrieb Gordon Grubert:
> > Leider vergaßen wir, das root-Paßwort zu setzen, also wurde der PC
> > gehackt. OK, Fehler behoben, aber wir haben eine Kopie vom gehackten
> > System (in einem Unterverzeichnis). Wie kann man jetzt feststellen,
> > welche Dateien modifiziert wurden?
>
> Z.B. mit einem IDS wie aide.
Hhhm, damit kann ein laufendes System überwacht werden.
Für den Fall den Jan schildert, eine Platte eines bereits gehackten Systemes
soll analysiert werden, hilf das nicht mehr.
Neben einer Überwachung sind neben AIDE andere Tools wie SNORT / Acidlab
hilfreich. Für eine Absicherung ist portsentry auch recht nützlich. Mit
Portsentry kann man bei bestimmten Aktionen wie wiederholte Zzugriffe auf
bestimmte Ports auch Meldungen und Aktionen definieren.
Tschüss,
Wolfgang
Reply to: