On Mon, Jan 15, 2001 at 12:43:28PM +0100, Andreas Metzler wrote: > Wenn ein Eindringling root Rechte bekommen hat (das braucht er doch, um > Kernel-Module und lsmod austauschen zu koennen), ist aber doch sowieso > schon alles zu spaet, dann kann er hat auch ein konventionelles > Rootkit installieren.
vollkommen richtig. module kann nur der root installieren, d.h. muss die box zuerst gerootet werden. ich spreche aber von backdoors. der vorteil von modulen ist allerdings, dann mit file checksummen prüfer (tripwire und div. perl scripts) keine veränderungen im dateisystem stattfinden sondern via ein modul die syscalls (z.b. open, set(e)uid) direkt manipuliert werden können. ok, wenn der admin die checksummen auf der pladde aufbewahrt und script kiddies noch mit chattr verwirrt, hat er eh verloren und man kann die checksummen neu generieren. alternative wären verschlüsselte filesysteme... hat er sie aber, so wie man's machen sollte, auf einer schreibgeschützten diskette die in einem tresor aufbewahrt wird, wird's schon schwieriger etwas im filesystem unbemerkt zu verändern. backdoors im filesystem sind lame. syscall redirecting und process accounting manipulationen im kernel space sind für den durchschnittlichen sysadmin kaum aufzudecken. das ganze ist schon ne weile her seitdem ich mich mit dem befasst habe. es kann gut sein, dass die neueren kernel das (fixe und bestehnde syscalls) umbiegen nicht mehr erlauben, sprich an das modul subsystem exportiert werden.. k.a. die fülle an treibern die direkten einfluss auf den kernel space haben und die aber als modul realisiert sind und somit von einem cracker nach strich und faden manipuliert werden können, lässt aber der kreativität freien lauf. bin kein versierter kernel hacker... wenn jemand was genaueres weiss bitte melden. um unnötigen FUD zu vermeiden: wer schon etwas stöbern will: AFAIK hat Van Hauser und Phrack mal einen Artikel darüber. IIRC in Ausgabe 52. http://phrack.infonexus.com -- ----------------------------------------------------------- Um sich aus der Liste auszutragen schicken Sie bitte eine E-Mail an [EMAIL PROTECTED] die im Subject "unsubscribe <deine_email_adresse>" enthaelt. Bei Problemen bitte eine Mail an: [EMAIL PROTECTED] ----------------------------------------------------------- 687 eingetragene Mitglieder in dieser Liste.
