Re: Rootkit entdecken
On Jan 06, Christoph Conrad wrote:
>
> Im Notfall ja. Folgende brilliante (oder bescheuerte) Idee: Wenn ich die
> Programme auf meiner Platte wie ps, ls, lsmod, cp, mv etc. von einer
> gebooteten KNOPPIX ersetze, dann sollte doch die Erkennung
> ungewöhnlicher Prozesse und Dateien wieder gehen?
Das kommt auf die Art des Rootkits drauf an. Es gibt einfache
rootkits, die ersetzt einfach dis bisherigen Programme ps, lsmod,
netstat, etc.
Die sind aber leicht zu entdecken (andere md5sum, timestamps, size).
Hier würde es natürlich helfen, die Programme durch 'saubere'
Versionen zu ersetzen.
Es gibt aber auch rootkits (alle neueren?), die z.B. direkt als Modul
in den Kernel geladen werden und auch mit einem richtigen lsmod nicht
mehr entdeckt werden können. Ganz schlecht sieht es vermutlich aus,
wenn das Rootkit nur im Speicher vorhanden ist.
Google findet bestimmt einige Seiten, die verschieden Rootkits
/-Techniken erklären. Ich weiß leider gerade keine, die ich empfehlen
könnte.
Die von dir beschriebenen Symptome müssen aber nicht auf ein Rootkit
hinweisen. Einzig die veränderte .Xauthority würde mir sorgen machen.
Gedroppte Pakete kan schließlich auch eine defekte Netzwerkkarte,
Kabel, usw. sein.
Du kannst ja mal prüfen, ob das auch Auftritt, wenn du mit Knoppix
gebootet hast.
Findet chkrootkit denn irgendwas?
Gruß,
Andreas
Reply to: