Re: Rootkit entdecken
Andreas Putzo, 01/06/07 17:20:
> On Jan 06, Christoph Conrad wrote:
>> Im Notfall ja. Folgende brilliante (oder bescheuerte) Idee: Wenn ich die
>> Programme auf meiner Platte wie ps, ls, lsmod, cp, mv etc. von einer
>> gebooteten KNOPPIX ersetze, dann sollte doch die Erkennung
>> ungewöhnlicher Prozesse und Dateien wieder gehen?
>
> Das kommt auf die Art des Rootkits drauf an. Es gibt einfache
> rootkits, die ersetzt einfach dis bisherigen Programme ps, lsmod,
> netstat, etc.
> Die sind aber leicht zu entdecken (andere md5sum, timestamps, size).
> Hier würde es natürlich helfen, die Programme durch 'saubere'
> Versionen zu ersetzen.
> Es gibt aber auch rootkits (alle neueren?), die z.B. direkt als Modul
> in den Kernel geladen werden und auch mit einem richtigen lsmod nicht
> mehr entdeckt werden können. Ganz schlecht sieht es vermutlich aus,
> wenn das Rootkit nur im Speicher vorhanden ist.
> Google findet bestimmt einige Seiten, die verschieden Rootkits
> /-Techniken erklären. Ich weiß leider gerade keine, die ich empfehlen
> könnte.
>
> Die von dir beschriebenen Symptome müssen aber nicht auf ein Rootkit
> hinweisen. Einzig die veränderte .Xauthority würde mir sorgen machen.
> Gedroppte Pakete kan schließlich auch eine defekte Netzwerkkarte,
> Kabel, usw. sein.
> Du kannst ja mal prüfen, ob das auch Auftritt, wenn du mit Knoppix
> gebootet hast.
>
> Findet chkrootkit denn irgendwas?
>
> Gruß,
> Andreas
>
>
Die .Xauthority wird bei mir immer geändert, inwiefern ist das falsch?
Peter
Reply to: