Hallo Andreas, On Tuesday 02 December 2003 19:49, Andreas Kretschmer wrote: > ,----[ Zitat ] [...] > | Unterst�tzung f�r ladbare Kernel-Module. Es bietet eine per > | Passwort gesch�tzte entfernt nutzbare Shell, die durch ein > | gef�lschtes Paket (das die meisten Firewall-Konfigurationen umgeht) > | gestartet wird, und versteckt Prozesse, Dateien und Verbindungen. > > `---- > > Mich interessiert der letzte Satz. Ich interpretiere ihn so, da� auch > iptables l�chrig ist, oder wird es nur l�chrig durch das Root-Kit?
es gibt rootkits, die ihre backdoor erst aktivieren, nachdem sie ein speziell pr�pariertes ICMP-Paket (oder ein anderes Paket mit einer speziellen Signatur in der payload) im Netzwerkverkehr bemerkt haben. Andere fungieren gar nicht als Server, sondern bauen von sich aus eine Verbindung auf, was auch durch ein solches "Trigger-Paket" ausgel�st werden kann. In vielen Privat-Setups, wo jede Verbindung nach au�en erlaubt ist und nur nach innen gefiltert wird, funktioniert das perfekt. Ich meine auch, vor einiger Zeit etwas �ber "sniffer based rootkits" gelesen zu haben, von denen ich allerdings nicht wei�, ob sie in der Praxis auch existieren oder nur ein Konzept sind. Auch hier lauscht das rootkit im Netzwerkverkehr. Um den kompromittierten Host zu erreichen, schickt man ein pr�pariertes Paket an einen beliebigen Host im Segment. Das rootkit kriegt das mit und antwortet darauf, allerdings mit dem Absender, den aus ausl�sende Paket zu erreichen versuchte. Der Effekt ist die Verschleierung des kompromittierten Rechners (naja, nicht so effizient, auf MAC-Ebene wird da nix verschleiert). Also auf Deine Frage: Du bist doch h�ufig in dcsf zu lesen und kennst die M�glichkeiten von iptables. Ich w�rde nicht sagen, dass iptables l�chrig ist sondern behaupte als Arbeitshypothese, dass man bei entsprechend restriktiver policy gute Karten hat, wenngleich es wahrscheinlich nicht ganz einfach ist, die ganzen Szenarien durch entsprechende Regeln (und unter Verwendung der passenden Module) abzudecken. Sch�ne Gr��e, Stephan -- /* Stephan Hakuli // http://www.hakuli.net // GPG-ID 4006A977 Encryption with GPG or PGP is strongly encouraged, my public key is available on my website or on common public keyservers. */ -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
