Re: Veränderte Dateien finden

To: debian-user-german@lists.debian.org
Subject: Re: Veränderte Dateien finden
From: Wolfgang Lasch <laschw@googlemail.com>
Date: Thu, 30 Nov 2006 11:41:00 +0100
Message-id: <[🔎] 200611301141.02699.laschw@gmail.com>
In-reply-to: <[🔎] 4t7nnkF12ju0rU1@mid.individual.net>
References: <[🔎] 456E9A37.30704@math.uni-siegen.de> <[🔎] 4t7nnkF12ju0rU1@mid.individual.net>

Am Thu, 30. November 2006 10:48 schrieb Gordon Grubert:
> > Leider vergaßen wir, das root-Paßwort zu setzen, also wurde der PC
> > gehackt. OK, Fehler behoben, aber wir haben eine Kopie vom gehackten
> > System (in einem Unterverzeichnis). Wie kann man jetzt feststellen,
> > welche Dateien modifiziert wurden?
>
> Z.B. mit einem IDS wie aide.

Hhhm, damit kann ein laufendes System überwacht werden. 
Für den Fall den Jan schildert, eine Platte eines bereits gehackten Systemes 
soll analysiert werden, hilf das nicht mehr.

Neben einer Überwachung sind neben AIDE andere Tools wie SNORT / Acidlab 
hilfreich. Für eine Absicherung ist portsentry auch recht nützlich. Mit 
Portsentry kann man bei bestimmten Aktionen wie wiederholte Zzugriffe auf 
bestimmte Ports auch Meldungen und Aktionen definieren.

Tschüss,
Wolfgang

Reply to:

References:
- Veränderte Dateien finden
  - From: Jan Fricke <fricke@math.uni-siegen.de>
- Re: Veränderte Dateien finden
  - From: Gordon Grubert <grubert@physik.uni-greifswald.de>

Prev by Date: Re: Veränderte Dateien finden
Next by Date: automount mit fstype=auto
Previous by thread: Re: Veränderte Dateien finden
Next by thread: Re: Veränderte Dateien finden
Index(es):
- Date
- Thread