1 |
> Hallo. |
2 |
> |
3 |
> Daniel Rindt schrieb am 21.09.2004 um 14:31 Uhr: |
4 |
> |
5 |
> > Über den Bind müssen die eine Lücke nutzen anscheinend. |
6 |
> Denn Rootkits |
7 |
> > sind nicht drauf schon geprüft. |
8 |
> |
9 |
> Du kannst mit einem Rootkit-Scanner nur feststellen, ob ein |
10 |
> Rootkit auf Deinem Rechner ist. Nicht aber, ob _kein_ Rootkit |
11 |
> drauf ist. |
12 |
> |
13 |
> Ein ls so zu manipulieren, dass es bestimmte Dateien nicht |
14 |
> mehr anzeigt, ist ein Einzeiler in den Sourcen - das gleiche |
15 |
> gilt fuer jede andere Manipulation an Programmen. |
16 |
> |
17 |
> Einzige Loesung ist, von einem unverseuchten System zu |
18 |
> booten. Alles andere kann theoretisch falsche Daten anzeigen. |
19 |
> Dabei kommt es immer darauf an, wo genau das Rootkit ansetzt |
20 |
> - wenn es z. B. auf Kernel-Ebene arbeitet, dann kannst Du |
21 |
> solange suchen und testen wie Du willst. Der Kernel wird Dir |
22 |
> immer das anzeigen was Du sehen sollst ... |
23 |
> |
24 |
> Auf einem dedizierten Server hast Du also u. U. ein Problem, |
25 |
> da Du theoretisch nicht mal neuinstallieren kannst, sondern |
26 |
> einen kompletten Reset benoetigst. |
27 |
> |
28 |
> Das sind zwar alles theoretische Gefahren und die wenigsten |
29 |
> werden sich die Arbeit machen ein Rootkit extra fuer Deinen |
30 |
> Rechner zu schreiben ... aber man weiss nie und deshalb nimm es ernst. |
31 |
> |
32 |
Nun mal ernsthaft ich bin sehr gewissenhaft was das installieren von |
33 |
Sicherheitspatches angeht und ich betreibe das Ganze nicht erst seit 2 |
34 |
Wochen. Also der Kernel ist original gs-sources. |
35 |
|
36 |
Ich würde heute nacht das Gerät herunterfahren und chkrootkit auf der kiste |
37 |
durchführen denn ich denke mal das Rescue System wird keinen "modifizierten" |
38 |
Kernel haben. Danach kann ich denke ich besser eine Aussage treffen, was |
39 |
Stand ist. |
40 |
|
41 |
Des weiteren Confixx ist auch auf dem Aktuellen Stand und zum Thema Backup |
42 |
Script gibt es noch kein Patch! Das mal am Rande. |
43 |
|
44 |
Kurrios da zu ist, das ich den Named heruntergefahren habe und plötzlich ist |
45 |
ruhe damit das ein john process die leistung raubt... |
46 |
|
47 |
Mit freundlichen Grüßen |
48 |
Daniel |
49 |
|
50 |
|
51 |
-- |
52 |
gentoo-user-de@g.o mailing list |