[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Rootkit entdecken



Hallo Andreas,

> Das kommt auf die Art des Rootkits drauf an. Es gibt einfache
> rootkits, die ersetzt einfach dis bisherigen Programme ps, lsmod,
> netstat, etc.

Ich werde es machen, ersetzen von Knoppix.

> Es gibt aber auch rootkits (alle neueren?), die z.B. direkt als Modul
> in den Kernel geladen werden und auch mit einem richtigen lsmod nicht
> mehr entdeckt werden können. Ganz schlecht sieht es vermutlich aus,
> wenn das Rootkit nur im Speicher vorhanden ist.

Ja, die verschiedenen Techniken habe ich mir durchgelesen. Interessantes
z.B. <http://www.univie.ac.at/comment/06-1/061_19.html> oder
<http://doc.bughunter.net/rootkit-backdoor/execution-path.html>.

> Einzig die veränderte .Xauthority würde mir sorgen machen.

Die beunruhigt mich auch am meisten. Inzwischen habe ich die originale
Datei wiederhergestellt.

> Findet chkrootkit denn irgendwas?

Nichts, auch rkhunter nicht. Allerdings noch nicht mit einem gebooteten
Knoppix getestet, nur im evt. infizierten System.

Freundliche Grüße,
Christoph



Reply to: