Hallo,
ich hab viel über Chkrootkit etc. gelesen. Ich wollte jetzt nur mal nachfragen, wie sicher Chkrootkit wirklich ist ?
Ich meine gibt es bei Chkrootkit evtl. die gefahr, dass es "neue" Sicherheitslöcher auf einem Linuxsystem öffnet ?
Wie sicher ist eigentlich die Auswertung bzw. die Fehlermitteilung von Chkrootkit ?
MfG
Walter
Wie sicher ist Chkrootkit ?
-
- Posts: 3840
- Joined: 2003-01-21 01:59
- Location: Sinsheim/Karlsruhe
Re: Wie sicher ist Chkrootkit ?
"Sicher" ist immer relativ. Die Fachleute gehen immer zuerst von einem konkreten Bedrohungsszenario aus, das sie in ihren Systemen in der Analyse gefunden haben. Dann kann ein konkretes Produkt entweder gegen dieses konkrete Bedrohungsszenario schützen (=sicher) oder eben nicht (=nicht sicher). Sicherheit ist daher bei Experten binär, es gibt kein dazwischen oder "ein bisschen sicher".Ich wollte jetzt nur mal nachfragen, wie sicher Chkrootkit wirklich ist ?
Das Problem bei dir hier ist, du hast den falschen Ausgangspunkt. Was ist _dein_ Bedrohungsszenario, wovor dich chrootkit schützen soll?
IMHO eher weniger.Ich meine gibt es bei Chkrootkit evtl. die gefahr, dass es "neue" Sicherheitslöcher auf einem Linuxsystem öffnet ?
chrootkit hat natürlich _nur_ dann einen Sinn, wenn man es von einem bekannt sauberen System aus startet. Bei einem Rootserver also z.B. aus dem Rescue-System heraus. Alles andere ist sinnfrei, denn wurde die Kiste erstmal gehackt, wer sagt dann, dass nicht auch chrootkit manipuliert wurde, sodass es dein Eindringling nicht findet? Außerdem hat chrootkit diverse Falschalarme, wie man oft hier im Forum und auch in der FAQ nachlesen kann.Wie sicher ist eigentlich die Auswertung bzw. die Fehlermitteilung von Chkrootkit ?
PS: Ich muss sagen, seit gestern hab wieder deutlich mehr Bock, hier im Forum ausführlichere Antworten zu geben, vielleicht merkt man es ja schon...?
-
- Posts: 127
- Joined: 2003-10-09 19:59
- Location: Nähe Kiel
Re: Wie sicher ist Chkrootkit ?
IMO prüft chrootkit Standard-Tools auf ihre Konsistenz. (Also ob sie ausgetauscht wurden, evtl. gegen 'bösartige' Programme(rootkits).)
Chrootkit öffnet keine neuen Sicherheitslöcher auf dem System.
Die Auswertung von Chrootkit ist teilweise sehr ungenau, hier gibt(gab) es hunderte von Threads, in denen Chrootkit grundlos ein 'possible LKM Trojan installed' meldet.
Chrootkit öffnet keine neuen Sicherheitslöcher auf dem System.
Die Auswertung von Chrootkit ist teilweise sehr ungenau, hier gibt(gab) es hunderte von Threads, in denen Chrootkit grundlos ein 'possible LKM Trojan installed' meldet.
-
- Posts: 46
- Joined: 2004-03-12 07:41
Re: Wie sicher ist Chkrootkit ?
Hallo und vielen Dank 0x1c,
ich hab gestern das System von verschiedenen Firmen auf Sicherheit prüfen lassen. Nach Aussage sind keine Löcher im System enthalten. Auf dem System sind die neusten Programmen.
Vielleicht hat jemand noch andere Erfahrungen bzw. Meinung zu Chkrootkit ?
ich hab gestern das System von verschiedenen Firmen auf Sicherheit prüfen lassen. Nach Aussage sind keine Löcher im System enthalten. Auf dem System sind die neusten Programmen.
Vielleicht hat jemand noch andere Erfahrungen bzw. Meinung zu Chkrootkit ?
-
- Posts: 4
- Joined: 2004-03-16 13:53
Re: Wie sicher ist Chkrootkit ?
Sagen wir mal so:walter12 wrote:Vielleicht hat jemand noch andere Erfahrungen bzw. Meinung zu Chkrootkit ?
In den Versionen seit 0.38 hat sich viel getan um false positives zu vermeiden (wer erinnert sich nicht gerne an die alarmierenden Meldungen unter RH 8.0
Auf einem meiner RedHat Server hat das Ding mir laufend "possible LKM" und gelegentlich sogar "possible Slapper Infection" angezeigt. nachdem der erste Hustenanfall vorbei war, habe ich geforscht und irgendwann einfach die Laufzeit des cronjobs geändert.
Geheimnis waren ein paar PHP-Scripte die zur vollen Stunde laufen. Letztlich ist es okay um eine Grobwarnung zu erhalten *falls* mal was passiert ist - aber als zuverlässiges Mittel auf Produktionsservern ist es noch ein weiter Weg. Für RedHat Server zumindest - auf den SuSE Servern ist mir außer dem bekannten false positive für bindshell auf Port 465 wenn Postfix läuft noch nix fürchterliches aufgefallen.
Allerdings, um mal den Hinweis des Kollegen zwei weiter oben aufzugreifen, solltest Du es tatsächlich von einer CD starten bzw. auf jeden Fall die .c Files aus dem Verzeichnis löschen
regards,
Michael