Prozesse anzeigen
Uwe Walter
info at warp-factor.de
Fre Dez 7 17:01:47 GMT 2007
Hi Gerhard,
Am Freitag, den 07.12.2007, 17:04 +0100 schrieb Gerhard Gaußling:
> Nun ja, snort, logwatch, portsentry und logcheck sind ja nicht komplett
> wirkungs- und nutzlos. Tiger, rkhunter, chkrootkit, zeppoo-0.0.4, und
> unhide/untcp tun auch so ihre Dienste, ebenso wie listps-0.9.0.
Vergiss es. Wenn er Dir ein Kernelrootkit einpflanzt, dann merkst Du gar
nichts, weil alle Systemcalls an seinem Programm vorbei müssen. ;-)
Nicht mal ein Monolithischer Kernel (ohne Kernelmodule) schütz davor.
Der kompiliert auf Deinem System einfach einen neuen Kernel, in dem sein
Rootkit eingebaut ist und startet das System neu.
Aus die Maus.
> Um's Neuaufsetzen kommt man dann in der Regel nicht vorbei.
> Stichwort: Backupstrategie.
Was nützt Dir ein Backup, vor allem wenn das automatisch gezogen wurde
und Du nicht weißt welche Software ausgetauscht wurde? Wenn sein
chkrootkit auf Deinem System läuft, wiegst Du Dich in falscher
Sicherheit. Ganz einfach.
Und so geht das mit jeder Software. Deshalb sage ich, dass die einzige
Chance überhaupt was mitzubekommen ein Tool ist, dass Prüfsummen aller
Dateien und Verzeichnisse zieht.
Und hiervon muss man dann *alle* files lokal speichern, damit im Notfall
der Originalzustand des Früfsummencheckers wieder hergestellt werden
kann.
Gruß Uwe
--
+----------------------------------------------------------+
(°)=- | Root Server Fernwartung - Webprogrammierung - Webhosting |
// \ +----------------------------------------------------------+
\\ / | warp-factor Services | Fon: +49 (0)6131 275598 |
^^^^ | Inh.: Uwe Walter | Mobil: +49 (0)176 26623723 |
| Rheinallee 57 | Fax: +49 (0)1805 233633 55260 |
(°)=- | 55118 Mainz | |
// \ | | Web: http://warp-factor.de |
\\ / | | http://blog-express.de |
^^^^ | | http://joomlakom.de/ |
+----------------------------------------------------------+