[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Rootkit entdecken



Christoph Conrad schrieb:
Hallo Andreas,

Das kommt auf die Art des Rootkits drauf an. Es gibt einfache
rootkits, die ersetzt einfach dis bisherigen Programme ps, lsmod,
netstat, etc.

Ich werde es machen, ersetzen von Knoppix.

Es gibt aber auch rootkits (alle neueren?), die z.B. direkt als Modul
in den Kernel geladen werden und auch mit einem richtigen lsmod nicht
mehr entdeckt werden können. Ganz schlecht sieht es vermutlich aus,
wenn das Rootkit nur im Speicher vorhanden ist.

Jup. afaik "filtern" die die Ausgaben der bekannten Tools entsprechend ab sodass sie nur sehr schwer bis gar nicht zu entdecken sind ...

Ja, die verschiedenen Techniken habe ich mir durchgelesen. Interessantes
z.B. <http://www.univie.ac.at/comment/06-1/061_19.html> oder
<http://doc.bughunter.net/rootkit-backdoor/execution-path.html>.

Einzig die veränderte .Xauthority würde mir sorgen machen.

Artikel dazu:
Hab mal was dazu gelesen war in der Zeitschrift hakin9 oder linux-Magazin vmtl. ersteres ...
müsste so ca. im letzen 1/2 Jahr gewesen sein ...

Die beunruhigt mich auch am meisten. Inzwischen habe ich die originale
Datei wiederhergestellt.

Findet chkrootkit denn irgendwas?

Nichts, auch rkhunter nicht. Allerdings noch nicht mit einem gebooteten
Knoppix getestet, nur im evt. infizierten System.

Das bringt nix, von Boot-CD checken, die zu prüfende(n) Partition(en) readonly mounten ...

Freundliche Grüße,
Christoph

MH



Reply to: