Re: Har min Debian-server hackats?
Quoting "Pelle Nilsson" <pellenilsson@fastmail.fm>:
Det främsta tipset från google-träffarna är att köra en "rootkit
hunter", så jag provade att installera rkhunter (från
http://www.rootkit.nl/ ) på servern och köra denna.
Bara för att tex rkhunter inte rapporterar att något rootkit hittats
på din dator så innebär detta inte att det inte finns ett installerat.
Dels känner säkerligen inte rkhunter till alla rootkits som existerar
på nätet, dels så kan personen som gjort intrånget ha sopat igen
spåren efter sig, tex genom att ladda en modul i kärnan. En sådan
modul skulle tex kunna rapportera legitima binär filer till rkhunter
medans de du kör som root (eller vanlig) user är en helt annan binär.
Det bästa sättet att titta efter rootkits är att göra detta med en
LiveCD eller liknande som *inte* laddar några moduler från systemet
som skall inspekteras!
Naturligtvis gäller ovanstående alla typer av program som letar efter
rootkits och inte begränsat till rkhunter.
// Tobbe
----------------------------------------------------------------
This message was sent using IMP, the Internet Messaging Program.
Reply to: