Re: Rootkit entdecken
Hallo Andreas,
> Das kommt auf die Art des Rootkits drauf an. Es gibt einfache
> rootkits, die ersetzt einfach dis bisherigen Programme ps, lsmod,
> netstat, etc.
Ich werde es machen, ersetzen von Knoppix.
> Es gibt aber auch rootkits (alle neueren?), die z.B. direkt als Modul
> in den Kernel geladen werden und auch mit einem richtigen lsmod nicht
> mehr entdeckt werden können. Ganz schlecht sieht es vermutlich aus,
> wenn das Rootkit nur im Speicher vorhanden ist.
Ja, die verschiedenen Techniken habe ich mir durchgelesen. Interessantes
z.B. <http://www.univie.ac.at/comment/06-1/061_19.html> oder
<http://doc.bughunter.net/rootkit-backdoor/execution-path.html>.
> Einzig die veränderte .Xauthority würde mir sorgen machen.
Die beunruhigt mich auch am meisten. Inzwischen habe ich die originale
Datei wiederhergestellt.
> Findet chkrootkit denn irgendwas?
Nichts, auch rkhunter nicht. Allerdings noch nicht mit einem gebooteten
Knoppix getestet, nur im evt. infizierten System.
Freundliche Grüße,
Christoph
Reply to: