sidux.com
Menu

News

Give back
Last 3 Contributions
30-11-2008 20.00
25-11-2008 100.00
25-11-2008 20.00

Donate


Sponsor
hetzner.de

Languages
Preferred language:


FAQ  •  Search  •  Register  •  Log in to check your private messages
Log in  •   Sub-Forum  •   Maximize

Rootkit-Warnung bei Heise
sidux.com Forum Index » Deutsches Forum » Andere Neuigkeiten/Off Topic
Post new topic   Reply to topic
View previous topic Printable version Log in to check your private messages View next topic
Author Message
holgerix
Post subject: Rootkit-Warnung bei Heise  PostPosted: Aug 06, 2008 - 07:47 AM



Joined: Jun 01, 2007
Posts: 82
Location: Kassel
Status: Offline
Hallo, habe folgendes gefunden:

http://www.heise.de/newsticker/DFN-CERT ... ung/113773

Gruß
Holger
 
 View user's profile Send private message Send e-mail  
Reply with quote Back to top
ralul
Post subject: RE: Rootkit-Warnung bei Heise  PostPosted: Aug 06, 2008 - 02:21 PM



Joined: Jan 10, 2008
Posts: 225

Status: Offline
Besonders deren einfaches Script ist genial zum Rootkit finden:
Code:

#!/bin/bash
# Das Skript testet, ob es Prozesse im System gibt, die ein
# Signal annehmen, aber nicht in /proc aufgelistet werden.
for PID in `seq 1 65535`; do
 if kill -0 ${PID} 2>/dev/null
 then
   if ls /proc/*/task/*/cmdline | grep "/${PID}/cmdline" >/dev/null
   then
##   ralul hier könnte fuer besseres feedback stehen
#     echo -n " - ${PID} ok - "
     true
   else
     CMD=`cat /proc/${PID}/cmdline`
     echo "PID ${PID} versteckt?! cmdline: '${CMD}'"
   fi
 fi
done
 
 View user's profile Send private message  
Reply with quote Back to top
towo|
Post subject:   PostPosted: Aug 06, 2008 - 02:47 PM



Joined: Nov 30, 2006
Posts: 1010
Location: Nimritz / Thüringen
Status: Offline
Quote:
Auf beide Tests und insbesondere das Skript gibt es natürlich keine Garantie. Sie könnten sowohl ein vorhandenes Rootkit übersehen als auch falschen Alarm geben.

Das hast Du aber auch gelesen, oder?

_________________
 
 View user's profile Send private message Visit poster's website  
Reply with quote Back to top
mylo
Post subject:   PostPosted: Aug 06, 2008 - 08:58 PM



Joined: Dec 05, 2006
Posts: 1029
Location: Wiesbaden, Germany
Status: Offline
[quote="towo|"]
Quote:
Sie könnten sowohl ein vorhandenes Rootkit übersehen als auch falschen Alarm geben.


da man die Quelle letztendlich nicht einstufen kann, kann man die Frage ob man damit leben kann eigentlich nicht beantworten...

_________________
Viele Grüße
mylo

sidux [Έρως]@2.6.27-7.slh.1-686 Intel Core2 Duo E6550 @ Cache/Ram 4MB/4GB nVidia G72 7300 2*250GB

scroogle.org: an alternate web search?
 
 View user's profile Send private message  
Reply with quote Back to top
ralul
Post subject:   PostPosted: Aug 06, 2008 - 10:59 PM



Joined: Jan 10, 2008
Posts: 225

Status: Offline
Also es gibt ja noch rkhunter.... wird bestimmt noch mehr Tests machen.
 
 View user's profile Send private message  
Reply with quote Back to top
bluelupo
Post subject:   PostPosted: Aug 07, 2008 - 08:56 AM



Joined: Nov 30, 2006
Posts: 956
Location: DE, Südöstliches Oberbayern
Status: Offline
rkhunter ist sicherlich nochmal um Klassen besser als das obige rudimentäre Script. Ich hab's seit ca. einen Jahr im Einsatz und lasse ihn zweimal täglich via cronjob laufen. Die Reports lassen einen Einbruch doch recht eindeutig erkennen allerdings muss z.B. nach einem d-u der "Stand" für rkhunter neu gesetzt werden weil u.U. div. Binaries ausgetauscht wurden.

_________________
Ciao bluelupo
PC: 2.6.27-7.slh.1-sidux-686 , AMD Athlon 64 3800+, NV 7600GT, 2 GB RAM
NB: ACER Aspire 5920G-702G25HN, 2.6.27-7.slh.1-sidux-amd64, Intel Core 2 Duo T7700 2,4 GHz, NV 8600GT, 4 GB RAM
 
 View user's profile Send private message Send e-mail Visit poster's website Yahoo Messenger ICQ Number 
Reply with quote Back to top
ralul
Post subject:   PostPosted: Aug 07, 2008 - 09:43 AM



Joined: Jan 10, 2008
Posts: 225

Status: Offline
bluelupo wrote:
Die Reports lassen einen Einbruch doch recht eindeutig erkennen
Uups, dann hattest Du schon mal ein Rootkit und es entdeckt? (Vielleicht haben wir alle schon lange Rootkits untergeschoben bekommen ohne es zu merken).
 
 View user's profile Send private message  
Reply with quote Back to top
Asparagus
Post subject:   PostPosted: Aug 07, 2008 - 02:37 PM



Joined: Jun 04, 2007
Posts: 197
Location: Erfurt (Germany)
Status: Offline
bluelupo wrote:
allerdings muss z.B. nach einem d-u der "Stand" für rkhunter neu gesetzt werden weil u.U. div. Binaries ausgetauscht wurden.


Ist aber ziemlich mühsam, wenn mann täglich d-u macht... Twisted Evil

Egal, aber die Frage ist: Wie setze ich händisch den Stand in rkhunter?

_________________
thx + regards, Guido

__
sidux (since Τάρταρος) -- latest-slh-stable-kernel -- KDE 3.5.9
Asus A7N8X -- AMD Athlon XP 2400+ -- 1024 MB RAM -- Nvidia GeForce 4 MX 4000
 
 View user's profile Send private message  
Reply with quote Back to top
zulu9
Post subject:   PostPosted: Aug 07, 2008 - 04:03 PM



Joined: Nov 30, 2006
Posts: 775
Location: Germany
Status: Online!
Code:
rkhunter --propupd


aus man rkhunter:
Quote:

--propupd
One of the checks rkhunter performs is to compare various current file properties of various commands, against those it has previously stored. This command option causes rkhunter to update its data file of stored values with the current values.
WARNING: It is the users responsibility to ensure that the files on the system are genuine and from a reliable source. rkhunter can only report if a file has changed, but not on what has caused the change. Hence, if a file has changed, and the --propupd command option is used, then rkhunter will assume that the file is genuine.


Das setzt also den Stand neu. Also am besten vorm d-u prüfen, dann direkt nach dem d-u rkhunter den neuen Stand mitteilen.

_________________
http://sidux.wordpress.com/ inoffizielles sidux-Blog
 
 View user's profile Send private message Visit poster's website  
Reply with quote Back to top
bluelupo
Post subject:   PostPosted: Aug 07, 2008 - 06:32 PM



Joined: Nov 30, 2006
Posts: 956
Location: DE, Südöstliches Oberbayern
Status: Offline
ralul wrote:

Uups, dann hattest Du schon mal ein Rootkit und es entdeckt? (Vielleicht haben wir alle schon lange Rootkits untergeschoben bekommen ohne es zu merken).

Nein, Gottseidank noch nicht aber anhand eines Artikel in Computerzeitschrift (vermutlich CT) haben die Autoren dies anschaulich gezeigt wie ein RK aussieht.

_________________
Ciao bluelupo
PC: 2.6.27-7.slh.1-sidux-686 , AMD Athlon 64 3800+, NV 7600GT, 2 GB RAM
NB: ACER Aspire 5920G-702G25HN, 2.6.27-7.slh.1-sidux-amd64, Intel Core 2 Duo T7700 2,4 GHz, NV 8600GT, 4 GB RAM
 
 View user's profile Send private message Send e-mail Visit poster's website Yahoo Messenger ICQ Number 
Reply with quote Back to top
Asparagus
Post subject:   PostPosted: Aug 07, 2008 - 06:45 PM



Joined: Jun 04, 2007
Posts: 197
Location: Erfurt (Germany)
Status: Offline
Was haltet ihr eigentlich von chkrootkit?

_________________
thx + regards, Guido

__
sidux (since Τάρταρος) -- latest-slh-stable-kernel -- KDE 3.5.9
Asus A7N8X -- AMD Athlon XP 2400+ -- 1024 MB RAM -- Nvidia GeForce 4 MX 4000
 
 View user's profile Send private message  
Reply with quote Back to top
Display posts from previous:     
Jump to:  
All times are GMT
Post new topic   Reply to topic
View previous topic Printable version Log in to check your private messages View next topic
 sidux.com Forum Index » Deutsches Forum »  Andere Neuigkeiten/Off Topic
Powered by PNphpBB2 © 2003-2007 The PNphpBB Group
Credits
 
Logos and trademarks are the property of their respective owners, comments are property of their posters, the rest is © 2006-2008 by sidux e.V., 10407 Berlin, Kniprodestr. 104. sidux e.V. is a Berlin, Germany based non-profit foundation. Consult Impressum and Legal Terms for details. sidux™ is Free Software released under the GNU/GPL license and other compatible licenses.
powered by Zikula & Zafenio