Root-Kit

[darkspirit]

Sicher gibt es Alternativen, aber auf einem "normalen" Webserver ist das IMHO eher unüblich ;)

[Joe User]

Sicher gibt es Alternativen, aber auf einem "normalen" Webserver ist das IMHO eher unüblich ;)

Wie man bei SCO eindrucksvoll beobachten kann/konnte ;)

[tape]

Warum gibts für so was keinen rootkit scanner der wenn er schon weiß wer drin ist ihn auch rausschmeist.. grummel...

Ein rootkit (wie der Name schon besagt) dient u.a. dazu root-Rechte zu erhalten. Was der Cracker / Hacker / Skript-Kiddie dann für Software ersetzt / installiert ist eigentlich unabhängig vom rootkit. Daher kann man das eigentliche rootkit zwar entfernen - man kann sich aber nicht sicher sein, dass der Eindringling keine anderen Hintertüren zurückgelassen hat --> daher Neuinstallation.

*lokal suse fuer backup von rootie installierend*

yep.. Mich irritiert halt nur das chkrootkit mir sagt das er was entdeckt hat und das Kit nicht gleich entfernt (die anderen infizierten programme kann ich ja dann "von hand" austauschen, z.B. über ne remote console oder via bootdisk gestartet wenn es um systemwichtige Teile geht).

Anton

[yt]

(die anderen infizierten programme kann ich ja dann "von hand" austauschen, z.B. über ne remote console oder via bootdisk gestartet wenn es um systemwichtige Teile geht).

Und wie willst du wissen, welche Dateien betroffen sind?

[tape]

(die anderen infizierten programme kann ich ja dann "von hand" austauschen, z.B. über ne remote console oder via bootdisk gestartet wenn es um systemwichtige Teile geht).

Und wie willst du wissen, welche Dateien betroffen sind?

chkrootkit zeigt an welche Dateien infiziert sind.. Und zusätzlich welche Rootkits gefunden wurden..

Anton

[darkspirit]

Anscheinend hast du noch nicht ganz nachvollziehen können, worum es hier geht. Damit ein Angreifer ein Rootkit installieren kann, braucht er Root-Rechte. Wenn eine fremde Person jemals diese Rechte hat, kann das ganze System komplett kompromittiert sein, es handelt sich hier nicht nur um die Rootkits. Es kann jedes Binary, jede Library oder welche Datei auch immer (inklusive des Kernels) so verändert sein, dass dir kein chkrootkit der Welt eine einzige Warnmeldung mehr ausspuckt, aber trotzdem der ganze Rechner sicherheitstechnisch unbrauchbar gemacht wurde..
-> Neuinitialisierung!

[tape]

Anscheinend hast du noch nicht ganz nachvollziehen können, worum es hier geht. Damit ein Angreifer ein Rootkit installieren kann, braucht er Root-Rechte. Wenn eine fremde Person jemals diese Rechte hat, kann das ganze System komplett kompromittiert sein, es handelt sich hier nicht nur um die Rootkits. Es kann jedes Binary, jede Library oder welche Datei auch immer (inklusive des Kernels) so verändert sein, dass dir kein chkrootkit der Welt eine einzige Warnmeldung mehr ausspuckt, aber trotzdem der ganze Rechner sicherheitstechnisch unbrauchbar gemacht wurde..
-> Neuinitialisierung!

hmmm.. ich denke Du hast Recht. Wenn ich auch kein Freak bin, bin ich schon ein paar Jahre dabei und es fällt mir immer noch schwer nachzuvollziehen wie jemand so etwas wie ein alles kompromitierendes rootkit bauen kann und sich nicht jede Nacht wegen seines schlechten Gewissens schlaflos im Bett umdreht (es sei denn er/sie schläft nie).
Ich werde also die Nacht opfern und alles sichern (sobald mein Rechner hier sein neues linux drauf hat) und dann die Neuinitialisierung beantragen. Grummel.. da paßt man mal zwei Tage nicht richtig auf und hat den Terminkalender voll und dann das, aber nach Murphys Law.. wann sonst als gerdade dann.. <snip swearword>!

Anton