jens.ebinger Geschrieben 31. Mai 2007 Teilen Geschrieben 31. Mai 2007 Hallo. In Chiefs hervorragenden Beitrag http://forum.fachinformatiker.de/security/47862-linkliste-securityforum-update-24-04-07-a.html habe ich nichts gefunden, drum frag ich anlässlich http://forum.fachinformatiker.de/linux-unix/105460-rootkit-redhat-system-entfernen.html hier: Wie schützt ihr euch vor Viren / Rootkits? Klar, Patchmässig auf Stand bleiben, Verzeichnisse nicht weiter aufdrehen als nötig etc., aber welches Programm einsetzen, um die Kiste wieder sauber zu kriegen? "Man" hat ja nicht immer alles in der Datensicherung, bzw. manchmal gar keine Sicherung. Ciao Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
carstenj Geschrieben 31. Mai 2007 Teilen Geschrieben 31. Mai 2007 Hi, Brain 1.0 soll da helfen. Denn wenn man nicht jede Mail gedankenlos öffnet, nicht jeden ******* installiert, unnötige Dienste abschaltet, den ein oder anderen Patch einspielt und, ganz wichtig, sich über aktuelle Entwicklungen informiert, sind sowohl eine Firewall als auch ein Virenkiller unnötig. aber welches Programm einsetzen, um die Kiste wieder sauber zu kriegen? Wenn du ein Rootkit drauf hattest, wäre eigentlich eine Neuinstalltion nach vorheriger Formatierung sinnvoll, alles andere ist riskant. "Man" hat ja nicht immer alles in der Datensicherung, bzw. manchmal gar keine Sicherung. Spätestens nach dem ersten unbeabsichtigen "rm -rf" im Rootverzeichnis sollte das aber jeder haben. Wenn jemand wichtige Daten nicht wenigstens vierteljährlich auf DVD oder CD brennt, ist er selbst schuld. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
jens.ebinger Geschrieben 2. Juni 2007 Autor Teilen Geschrieben 2. Juni 2007 Hallo. Vielleicht habe ich meine Frage unklar formuliert, mir geht es um vorbeugende/erkennende Wartung. Nicht jedes Rootkit sagt "jo, da bin ich, lösch mich, wenn du kannst". Da ist es beruhigend, ab und zu so einen Scanner laufen zu lassen, wie (z.B.) den Trendmicro Systemcleaner (gibts für Windows). Den hab ich (zu meinen Windowszeiten) morgendlich über die Terminalserverfarm laufen lassen, um festzustellen ob ein Virus drauf ist. Einer war in drei Jahren. Dauernd n Virenscanner laufen zu lassen auf Terminalserver ist so nicht besonders geschickt. Aber nachträglich an laufenden Terminalservern an Verzeichnisberechtigungen drehen gibt Haue vom Vorgesetzten und/oder von den Anwendern, weil die (z.B.) nicht ihre Desktop-Anwendungen nicht gepflegt kriegen. Ich will einfach nicht zur Spamschleuder / MP3-Halde (o.ä.) werden. Nun klarer? Ciao Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
SystemError Geschrieben 2. Juni 2007 Teilen Geschrieben 2. Juni 2007 ...Vielleicht habe ich meine Frage unklar formuliert, mir geht es um vorbeugende/erkennende Wartung. Hey, 1.) wie Du schon selbst schreibst: Patchen! Mal im Ernst, meiner Meinung nach genau der wichtigste Punkt zum Thema UNIX und Rootkitprävention. Klar, das alleine bietet keine vollständige Sicherheit; aber darum geht es auch (zunächst). Dazu gehört nun auch nur (Server)Betriebssysteme zu betreiben die noch gewartet werden; d.h. für die Du auch noch Errata bekommst. Habe leider schon zu oft mit ansehen müssen wir irgendein Admin seine seit 5 Jahren nicht mehr gepatchte LinuxBüxe im Internet stehen hatte. Oton: "Linux ist doch sicher." *autsch* 2.) Verwende ordentliche Passwörter Du kennst das Lied ja... 3.) Evtl. täglich einen RootkitScanner automatisiert laufen lassen Zum Beispiel den hier: chkrootkit -- locally checks for signs of a rootkit Und wenn es dann eben doch passiert ist: Komplette Systemwiederherstellung Deiner Nutzdaten aus der letzten nicht kompromitierten Datensicherung! Solltest Du keine regelmäßige Datensicherung betreiben so denk evtl. mal darüber nach diese im Zuge Deiner AntiRootkitStrategie einzuführen. Ach ja, schau mal, lief vor ein paar Tagen über Slashdot: Slashdot | A Look at BSD Rootkits Bye SystemError Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
jens.ebinger Geschrieben 2. Juni 2007 Autor Teilen Geschrieben 2. Juni 2007 @systemerror: DANKE :uli Das führt mich zu ner anderen Frage: Von Windows her kennt man, dass Viren auch Virenscanner deaktivieren können und auch tun. Im Windowsbereich gibts da den EICAR-Testvirus, den muss ein laufender Virenscanner anmeckern, wenn der der also von einem geplanten Virenscan nicht gefunden werden sollte, dann läuft was verkehrt. Auf den Terminalservern habe ich die unxutils.zip installiert und den Trendmicro systemcleaner ("geplante aufgabe"). Wenn also ein "grep eicar logfile | wc -l" = 0 dann ist der Job nicht (oder nicht sauber) gelaufen, denn der EICAR muss anschlagen --> Mail an Admin: "Job nicht gelaufen" Wenn (gesamte virenzahl = anzahl vom eicar auf der Platte) dann ist der Job sauber gelaufen --> Mail an Admin. "alles sauber" Keine Mail morgens (oder beide obige Bedindungen nicht erfüllt): Admin muss mit der Lupe suchen gehen. Gibts ein EICAR-ähnliches "Pseudorootkit", dass "erkannt" wird? Oder bin ich paranoid? Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
carstenj Geschrieben 2. Juni 2007 Teilen Geschrieben 2. Juni 2007 Hi, ein Produkt von einem Hersteller würde ich sowieso nicht einsetzen, wenn dann schon mindestens 2. Nicht jeder Scanner erkennt jeden Virus/Rootkit, sodass du mit 2 Scannern schon eine Stufe sicherer bist. Dass dein Virenkiller EICAR erkennt, heisst noch lange nicht, dass er andere Viren findet. Ich würde zudem einen Intrusion Detection System installieren, a la Tripwire, was jeden Abend die Server auf geänderte Dateien überpüft und dir eine Statusmail zuschickt, sodass du sicher sein kannst, dass auch tatsächlich ein Durchlauf stattgefunden hat. Oder bin ich paranoid? Ja, aber im Gewissen Rahmen ist das sogar notwendig. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
geloescht_JesterDay Geschrieben 5. Juni 2007 Teilen Geschrieben 5. Juni 2007 @systemerror: Im Windowsbereich gibts da den EICAR-Testvirus, den muss ein laufender Virenscanner anmeckern, wenn der der also von einem geplanten Virenscan nicht gefunden werden sollte, dann läuft was verkehrt. EICAR ist kein Virus. Es ist eine Textdatei, die vereinbarungsgemäß von allen Virenscannern als "Virus" erkannt wird. Man hätte sich auch darauf einigen können, dass eine (angehängte) Textdatei mit dem Text "Ja Hallo erstmal" als Test-Virus erkannt wird Und EICAR ist nicht nur im Windows-Bereich ein Test-Virus. EICAR = European Institute for Computer Antivirus Research siehe auch: EICAR-Testdatei - Wikipedia BTW: etwas ähliches gibt es auch im Spam-Bereich um den Spamassassin o.ä. zu testen. Das hat aber nichts damit zu tun, wie gut Spam oder ein Virus erkannt wird. Es geht dabei einfach nur darum, ob das Erkennungsprogramm (Spam oder Virus) überhaupt läuft und z.B. Mails scannt. Und ein Rootkit zeichnet sich ja dadurch aus, dass es sich ganz tief ins System einnistet und auch Systemdateien ersetzt und somit z.B. den Zugriff auf Dateien kontrolliert und somit seine Entdeckung verhindert. Einfach durch einen Scan nach einer Datei ist die Erkennung nicht getan... (und was mit dem Rootkit dann sonst noch alles am System verändert wurde, kann die eh kein Scanner sagen, da du damit ja kompletten Zugang zum System hast). EDIT: Rootkits sind keine Viren in dem Sinne. Du brauchst schon Zugang zum System mit Root-Rechten um sowas überhaupt installieren zu können. Dazu reicht u.U. eine Lücke in einem laufenden Dienst. Aber als Mailanhang o.ä. da is die Chance doch sehr sehr gering würde ich sagen. Alle Dienste abschalten, die du nicht brauchst ist also schon mal der erste und wichtigste Schritt. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Crash2001 Geschrieben 5. Juni 2007 Teilen Geschrieben 5. Juni 2007 [...]3.) Evtl. täglich einen RootkitScanner automatisiert laufen lassen Zum Beispiel den hier: chkrootkit -- locally checks for signs of a rootkit[...]Den hab ich mir mal runtergeladen, entpackt und funzt erstmal nicht. Steht aber auch nichts davon bei, dass man da was installieren müsste oder so. Findet einfach "strings" nicht. Ich hab dann jetzt einfach mal strings.c in strings umkopiert und danach läuft er auch, aber k.A., ob das so richtig ist. Es läuft jedenfalls danach ... Und das ist das was er mir ausgibt:ROOTDIR is `/' Checking `amd'... not found Checking `basename'... not infected Checking `biff'... not found Checking `chfn'... not infected Checking `chsh'... not infected Checking `cron'... not infected Checking `crontab'... not infected Checking `date'... not infected Checking `du'... not infected Checking `dirname'... not infected Checking `echo'... not infected Checking `egrep'... not infected Checking `env'... not infected Checking `find'... not infected Checking `fingerd'... not found Checking `gpm'... not found Checking `grep'... not infected Checking `hdparm'... not found Checking `su'... not infected Checking `ifconfig'... INFECTED Checking `inetd'... not infected Checking `inetdconf'... not infected Checking `identd'... not found Checking `init'... not infected Checking `killall'... not infected Checking `ldsopreload'... can't exec ./strings-static, not tested Checking `login'... not infected Checking `ls'... not infected Checking `lsof'... not found Checking `mail'... not infected Checking `mingetty'... not found Checking `netstat'... not infected Checking `named'... not found Checking `passwd'... not infected Checking `pidof'... not infected Checking `pop2'... not found Checking `pop3'... not found Checking `ps'... not infected Checking `pstree'... not infected Checking `rpcinfo'... not infected Checking `rlogind'... not found Checking `rshd'... not found Checking `slogin'... not infected Checking `sendmail'... not infected Checking `sshd'... not infected Checking `syslogd'... not infected Checking `tar'... not infected Checking `tcpd'... not infected Checking `tcpdump'... not infected Checking `top'... not infected Checking `telnetd'... not found Checking `timed'... not found Checking `traceroute'... not found Checking `vdir'... not infected Checking `w'... not infected Checking `write'... not infected Checking `aliens'... no suspect files Searching for sniffer's logs, it may take a while... nothing found Searching for HiDrootkit's default dir... nothing found Searching for t0rn's default files and dirs... nothing found Searching for t0rn's v8 defaults... nothing found Searching for Lion Worm default files and dirs... nothing found Searching for RSHA's default files and dir... nothing found Searching for RH-Sharpe's default files... nothing found Searching for Ambient's rootkit (ark) default files and dirs... nothing found Searching for suspicious files and dirs, it may take a while... nothing found Searching for LPD Worm files and dirs... nothing found Searching for Ramen Worm files and dirs... nothing found Searching for Maniac files and dirs... nothing found Searching for RK17 files and dirs... nothing found Searching for Ducoci rootkit... nothing found Searching for Adore Worm... nothing found Searching for ****C Worm... nothing found Searching for Omega Worm... nothing found Searching for Sadmind/IIS Worm... nothing found Searching for MonKit... nothing found Searching for Showtee... nothing found Searching for OpticKit... nothing found Searching for T.R.K... nothing found Searching for Mithra... nothing found Searching for OBSD rk v1... nothing found Searching for LOC rootkit... nothing found Searching for Romanian rootkit... nothing found Searching for ****it rootkit... nothing found Searching for Volc rootkit... nothing found Searching for Gold2 rootkit... nothing found Searching for TC2 Worm default files and dirs... nothing found Searching for Anonoying rootkit default files and dirs... nothing found Searching for ZK rootkit default files and dirs... nothing found Searching for ShKit rootkit default files and dirs... nothing found Searching for AjaKit rootkit default files and dirs... nothing found Searching for zaRwT rootkit default files and dirs... nothing found Searching for Madalin rootkit default files... nothing found Searching for Fu rootkit default files... nothing found Searching for ESRK rootkit default files... nothing found Searching for rootedoor... nothing found Searching for ENYELKM rootkit default files... nothing found Searching for anomalies in shell history files... nothing found Checking `asp'... not infected Checking `bindshell'... not infected Checking `lkm'... Checking `rexedcs'... not found Checking `sniffer'... not tested: can't exec ./ifpromisc Checking `w55808'... not infected Checking `wted'... not tested: can't exec ./chkwtmp Checking `scalper'... not infected Checking `slapper'... not infected Checking `z2'... not tested: can't exec ./chklastlog Checking `chkutmp'... not tested: can't exec ./chkutmp Was genau sagt mir das jetzt? :confused: Und darf ich schon wieder neu installieren, nur weil ifconfig infected ist? Irgendwie scheint da noch eine Sicherheitslücke zu existieren, über die die Rootkits reinkommen, die ich nicht finde und somit nicht schliessen kann. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
jens.ebinger Geschrieben 5. Juni 2007 Autor Teilen Geschrieben 5. Juni 2007 @crash2001: Ich empfehle dir nen eigenen Thread, der wird wahrscheinlich auch öfters gelesen. Hier geht es mehr um Strategien, Methoden etc. als um konkrete Probleme von einzelnen Leuten mit einzelnen Maschinen. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
SystemError Geschrieben 5. Juni 2007 Teilen Geschrieben 5. Juni 2007 @crash2001: 1.) Wenn 's Dir wichtig ist; mach am besten einen neuen Thread auf. Im übrigen: Das kann auch ein False Positive sein. Dann am besten auch mit Angeben zum verwendeten UNIX Derivat. 2.) Das Tarfile von chkrootkit entählt eine Datei "README"; siehe hierzu auch: http://www.chkrootkit.org/README 3.) Evtl. bringt ein "chkrootkit -x ifconfig" ans Licht warum es zur Meldung "INFECTED" kommt. 4.) Auf "unterstützen" Plattformen "sollte" chkrootkit eigentlich keine Probleme beim übersertzen machen. Habe es Laufe der Jahre öfters mal auf unterschiedlichen Plattformen laufen lassen und nie Probleme damit gehabt. Weder hinsichtlich tatsächlich vorhandenen RootKits noch hinsichtlich FalsePositives. @all: Eine SecurityPolicy sollte meiner Meinung nach stets nach dem Gesichtspunkt "Wachsamkeit" und nicht nach dem Gesichtspunkt "paranoid" ausgelegt sein. Ein Restrisiko bleibt immer; ganz egal welchen Aufwand ihr betreibt. Und irgendwann ist eben Schluss. Und wenn 's schiefgeht: System komplett neu aufsetzen und Backups der Nutzdaten einspielen. Bye SystemError Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
jens.ebinger Geschrieben 9. Juni 2007 Autor Teilen Geschrieben 9. Juni 2007 3.) Evtl. täglich einen RootkitScanner automatisiert laufen lassen Zum Beispiel den hier: chkrootkit -- locally checks for signs of a rootkit Jahahaha, wenns es dort "nur" das eine Toolkit zum Checken gibt, dann mach ich (als Viren-/Rootkit-programmierer) dieses eine Binary doch "tot" im Sinne von das vorhandene binary durch was "passendes" ersetzen o.ä. Von Windows-Viren kennt man, dass die eine im hauptspeicher befindliche mrt.exe (dieses windows malicious software removal tool von MS) einfach killen. Einmal im Monat von CD (mit md5-verifizierten Binaries) starten und das Root-volume checken: Macht das jemand? Oder gehen jetzt die Gäule mit mir durch? Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
SystemError Geschrieben 10. Juni 2007 Teilen Geschrieben 10. Juni 2007 .... Oder gehen jetzt die Gäule mit mir durch? Also ganz ehrlich, wenn Du mich fragst: Ja. Sicherlich genau das korrekte Vorgehen wenn Du begründeten Verdacht hast, Dein System könnte infiziert worden sein. Für regelmässige Routineüberprüfungen würde ich das persönlich für übertrieben halten. Allerdings: Wenn Du so oder so ein Standardwartungsfenster mit dem betreffenden Kunden vereinbart hast... so im Stile von "Am ersten Sonntag jedes Quartals steht das System HURZ von 12:00 Uhr bis 18:00 Uhr nicht zur Verfügung" um die üblichen Wartungsarbeiten (Patches!) vorzunehemen, schadet es evtl. auch nicht es einfach mal von CD laufen zu lassen. Eine Downtime hast Du dann ja eh; ist dem Fall eher eine Zeitfrage. Alternative, unterbrechungsfrei: Du übersetzt chkrootkit jedes Mal bei Deinem RoutineCheck frisch aus den Sourcen, mountest Dir die Binärdatei via NFS (ro!) und führst diese dann auf dem Zielsystem aus. Welchem Maß an Bedrohung Dein System ausgesetzt ist kannst nur Du beurteilen. Da spielen viele Faktoren mit rein, z.B. : - Steht das Ding in einem öffentlichen Netz? - Welche Dienste sind im Netz erreichbar? - Werden regelmässig Patches eingespielt? - Gibt es eine grosse Anzahl von Benutzern mit ShellAccount - Etc.. Von diesem Grad an Paranoia würde ich dann die betreffende SecurityPolicy abhängig machen; natürlich auch noch unter Berücksichtigung der zur Verfügung stehenden Ressourcen (Mitarbeiter // Zeit). Sonstige Gedanken zum Tage: Beim Thema Patches die zusätzlich installierte Software nicht Vergessen, die nicht unter der Versionskontrolle des betreffenden Betriebssystems & zugehörigem Updatemechanismus steht. Typische Beispiele: - DB2 oder Oracle Datenbanken - Webmin (*eeeks*) - JBoss oder IBM WebSphere (+ ggf. MQ) Ja, auch die Dinger wollen gepatched werden... ;-) Bye SystemError Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
jens.ebinger Geschrieben 10. Juni 2007 Autor Teilen Geschrieben 10. Juni 2007 Auf die Gefahr hin, mich zu wiederholen: Danke systemerror :uli:e@sy Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
geloescht_JesterDay Geschrieben 11. Juni 2007 Teilen Geschrieben 11. Juni 2007 Von Windows-Viren kennt man, dass die eine im hauptspeicher befindliche mrt.exe (dieses windows malicious software removal tool von MS) einfach killen. Das setzt aber vorraus, dass der Virus mit Admin-Rechten gestartet wurde (Stichwort: User mit Admin-Rechten!). Ansonsten kann der virus nur vom Benutzer gestartete Prozesse killen, und das mrt fällt da z.B. auf jeden Fall nicht darunter. Mir kommt es vor, als wenn du die Gefahren von Windows (nochmal: Admin-Rechte!) ganz einfach 1:1 auf ein Linux System überträgst. Klar, wenn dein Root-Kit läuft, hat es wohl Root-Rechte, zumindest ist das ja der Zweck des ganzen. Aber soweit muss man erstmal kommen. Das setzt meist ja erstmal einen lokalen Account voraus, also geht nicht einfach so übers Netz z.B. (Stichwort: Blaster) Wenn also jemand bei dir ein Root-Kit installieren kann, dann lief davor schonmal was schief. Da solltest du also erstmal ansetzen. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
jens.ebinger Geschrieben 11. Juni 2007 Autor Teilen Geschrieben 11. Juni 2007 Wenn also jemand bei dir ein Root-Kit installieren kann, dann lief davor schonmal was schief. Da solltest du also erstmal ansetzen. Ich denke zurück an den "ILE-Überfall" ca. 1999 auf ein grösseres max-Planck-Institut. Die hatten dutzende ungepatchte Kisten, v.a. ein UNIX (Name zensiert), oder ungepatche Webserver eines winzigweichen Herstellers, da sind dann böse Leute leicht reingekommen, zumal damals Hardware-Firewall noch nicht so gross geschrieben wurde. Das (mangelndes Personal, mangelnde Softwaresubscription, keine Firewall) ist nicht eine Sache, die ein einzelner Admin hat. Selbst wenn der einzelne Admin seinen Chef jede Woche dreimal belabert: Chef hat ein Budget einzuhalten. Ein Budget, was vom Umsatz/Gewinn/Steueraufkommen abhängt. Was soll da ein einzelner Admin tun? ILE (wers nicht weiss) =Internet-link-exchange. Gegen Geld bekann man ip-adressen, von (laufend wechselnden) Servern, in die gerade eingebrochen wurde und massiv Filme/Musik/software aufgetankt wurde. Montag morgens hatten die Admins ne "interessante" Traffic-Überraschung. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
SystemError Geschrieben 11. Juni 2007 Teilen Geschrieben 11. Juni 2007 Was soll da ein einzelner Admin tun? Wenn laut, nachweisbar und nachdrücklich auf die offensichtlichen Mißstände aufmerksam machen nichts hilft: Sich einen neuen Arbeitgeber suchen. Wer "dutzende" Maschinen (egal, welches BS) ungepatched ins Internet stellt handelt imho grob fahrlässig. *arghhhh* Bye SystemError Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
geloescht_JesterDay Geschrieben 11. Juni 2007 Teilen Geschrieben 11. Juni 2007 Ich denke zurück an [...] ca. 1999 ... Ich denke zurück an ca 1993, als Speicherschutz noch absolut kein Thema war und jedes beliebige Programm auf den kompletten Speicher und alle Inhalte des Systems komplett zugreifen konnten (gab auch andere Systeme). Was willst du uns damit sagen? Dass früher alles besser war :confused: Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
jens.ebinger Geschrieben 11. Juni 2007 Autor Teilen Geschrieben 11. Juni 2007 Was willst du uns damit sagen? Wollte ein konkretes Beispiel bringen, was passieren kann, und wieviel Macht eine Person hat (bzw. nicht hat), das zu verhindern oder abzumildern oder oder oder ... Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
geloescht_JesterDay Geschrieben 12. Juni 2007 Teilen Geschrieben 12. Juni 2007 Wollte ein konkretes Beispiel bringen... Welches aber schon 8 Jahre zurückliegt. In den 8 Jahren hat sich, gerade was das Wissen und Bewusstsein über Computersicherheit angeht, ne ganze Menge getan. Ich finde dein konkretes Beispiel genauso passend wie wenn ich über die Sicherheit bei einem C64 erzählen würde (ok, ist was übertrieben, aber hoffe du verstehst was ich meine) EDIT: Und wenn die verantwortliche Person schon nichts machen kann bzw darf was die Sicherheit betrifft, dann bringen all deine Überlegungen nichts. Wenn ein System unsicher ist, dann ist es das. Da muss man dir nicht mal ein Rootkit unterjubeln. Manchmal reicht schon viel weniger und ein Rootkit ist nunmal so gemacht, dass es sich nicht leicht finden läßt. Sicher gibt es da unterschiede, aber einen Virus findet ein Scanner sehr leicht, indem er Dateien oder Speicherbereiche nach bestimmten Mustern durchsucht. So (Suche nach bestimmten Mustern u.ä.) geht das aber mit einem Rootkit nur, wenn der Programmierer einen Fehler macht (und den machen ja die meisten irgendwie). Darauf verlassen würd ich mich aber nicht. Es reicht ja u.U. der Root-Zugriff um etwas anzupassen und dann werden alle Spuren entfernt. Ein Root-Kit Scanner bekommt dann im besten Fal (für den Einbrecher) nichtmal was davon mit. Nur der Admin selbst kann das, wenn er Aufmerksam ist und irgendwelche Änderungen zum "Normalzustand" bemerkt. Ein Root-Kit-Scanner ist IMHO wie eine PersonalFirewall ein schönes Ding um sich sicher zu fühlen, aber sicher ist man damit noch lange nicht. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
SystemError Geschrieben 12. Juni 2007 Teilen Geschrieben 12. Juni 2007 ...Welches aber schon 8 Jahre zurückliegt. In den 8 Jahren hat sich, gerade was das Wissen und Bewusstsein über Computersicherheit angeht, ne ganze Menge getan.... Hmmm... kann ja sein dass sich in den letzten 8 Jahren viel getan hat, ja. Aber irgendwie sind die bösen Jungs anno 1999 ja auch erst mal auf die Systeme gekommen bevor sie RootKits installiert haben; und zwar wahrscheinlich über schwache Passwörter (*autsch*), das Ausnutzen von bestehenden Sicherheitslücken (*autsch*) oder durch eine Kombination (*autsch*autsch*) dieser beiden Ansätze. Welche Lehren ziehen wir daraus? 1.) Du sollst Deine Systeme patchen. 2.) Du sollst starke Passwörter verwenden. 3.) Stell nur die Dienste in öffentlichen Netzen zur Verfügung, die auch wirklich benötigt werden. Drei einfach zu befolgende Grundregeln, die meiner Meinung damals wie Heute ihre Gültigkeit haben. ... Ein Root-Kit-Scanner ist IMHO wie eine PersonalFirewall ein schönes Ding um sich sicher zu fühlen, aber sicher ist man damit noch lange nicht... OK. Da muss ich Dir Recht geben. Rootkit - Wikipedia, the free encyclopedia unterscheidet 5 Kategorien von RootKits: 1.) Anwendungs basierte RootKits 2.) Bibliotheks basierte RootKits 3.) Kernelmodul basierte RootKits 4.) Virtualisierte RootKits 5.) Die Firmware befallende RootKits Ein RootKitScanner wie chkroot kann meiner Meinung nach gerade mal die Kategorien 1 und 2 finden; die klassische Variante eben. Und im übrigen: Ein RootKitScanner schützt ja auch nicht vor der eigentlichen Infektion. Und diese Scanner nützen rein gar nichts wenn niemand deren Ausgabe evaluiert. ...also gilt auch hier: Vorsorge (patchen + starke Passwörter) ist wesentlich besser als Nachsorge (RootKitScanner). ;-) Bye SystemError Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
geloescht_JesterDay Geschrieben 12. Juni 2007 Teilen Geschrieben 12. Juni 2007 Hmmm... kann ja sein dass sich in den letzten 8 Jahren viel getan hat, ja. Aber irgendwie ... Das bezog sich ja auf das konkrete Beispiel: Selbst wenn der einzelne Admin seinen Chef jede Woche dreimal belabert... Heute würde der Chef dem Admin schon eher zuhören, weil das Bewusstsein dafür viel größer ist. Sonst meinte ich damit gar nichts Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.