Re: Trojaner und Co finden

To: debian-user-german@lists.debian.org
Subject: Re: Trojaner und Co finden
From: Patrick Matthäi <patrick.matthaei@web.de>
Date: Wed, 24 Dec 2008 16:29:33 +0100
Message-id: <[🔎] 4952555D.7030401@web.de>
Reply-to: patrick.matthaei@web.de
In-reply-to: <bMBvl-7QS-1@gated-at.bofh.it>
References: <[🔎] 20081208154652.4d03b0fc@pinguinstall> <[🔎] 200812241351.50287.michael.renner@gmx.de>

Michael Renner schrieb:
> On Monday 08 December 2008, Dirk Schleicher wrote:
>> Hallo Leute,
> 
> Moin,
> 
>> ich würde mal gerne mein System untersuchen ob sich da was
>> eingeschlichen hat. Ich habe man chkrootkit laufen lassen, aber gibt es
>> noch andere Tools dafür?
> 
> ich würde einen anderen Ansatz wählen: ein 2. Rechner im Netz untersucht den 
> Netztrafic. Alles was nicht erklärbar ist (IRC-Pakete auch wenn du gerade 
> nicht chattest, http(s) obwohl dein Browser geschlossen ist etc) sollte 
> untersucht werden.

Das halte ich für nicht durchführbar. EInfachstes Beispiel:
popcon über HTTP => Kein Browser offen und doch eine HTTP verbindung.

Auch sonst hat man oft auf dem Heimrechner zisch Sachen laufen
(unterschiedliche Protokolle / Ports), das dürfte ZU aufwendig werden.

Außerdem müsste dann dort ein Hub stehen, damit der zweite Rechner (wenn
man diesen überhaupt besitzt) den Traffic im promisc mitschneiden kann.

-- 
/*
Mit freundlichem Gruß / With kind regards,
Patrick Matthäi

E-Mail: patrick.matthaei@web.de

Comment:
Always if we think we are right,
we were maybe wrong.
*/

Reply to:

References:
- Trojaner und Co finden
  - From: Dirk Schleicher <dirk.schleicher@gmx.de>
- Re: Trojaner und Co finden
  - From: Michael Renner <michael.renner@gmx.de>

Prev by Date: Re: Kernel Update verändert grub/menu.lst
Next by Date: apt, squid und Veraenderungen im Archiv
Previous by thread: Re: Trojaner und Co finden
Next by thread: NetworkManager ein Interface ignorieren lassen
Index(es):
- Date
- Thread