Re: [linux] Rootkit detetor

Thu, 10 Oct 2002 00:21:33 -0700 

les rootkit, c'est une sorte de course: les techniques de d�tections contre
les teachnique d'�vasion. Les rootkit kernel sont maintenant chose courantes
et permettent de cacher process et autres (tout se qu'on veut) sans patcher
du tout de binaire mais en changant les r�ponses des sycall que ces binaires
font --> ton ps est toujours bien le meme, mais le rootkit est bien la.
Les solutions ne sont pas trop g�n�riques et souvent facile a �viter ...bref
c'est pas �vident (solutions: check via /dev/kmem les structures du kernel,
mais facile a mettre en d�route)

Donc, le plus sur est de s'assurer qu'uncun rootkit ne rentre en faisant le plus
attention possible aux version de soft que l'on tourne.

On Thu, Oct 10, 2002 at 09:27:56AM +0200, Dominique Gallot wrote:
> 
> Le but d'un rootkit est d'installer des backdoors pour permettre de garde
> l'access � une machine que l'on a 'hacker'
> 
> Comment on se rend compte qu'on en a un
> 
> Le but d'un bon rootkit est d'etres non detactable ( en remplacant des
> binaires cl� de la distribution )
> cad en general top ps, le kernel lui meme ( par example pour oublier dans
> le /proc les process du rootkit )
> netstat login init
> rpm a une fct super qui permet de verifier les signatures des fichiers.
> Donc je fais un truc du genre
> 
>       file /bin/* | grep ELF | cut -f 1 -d : > /tmp/corefiles
>       {
>               while read n; do
>                 echo Verifying $n `rpm -Vf $n`
>               done
>       } < /tmp/corefiles
> 
> et comment on peut l'enlever ?
> 
> ben on r�installe les binnaires.
> 
> 
> 
> 
> _______________________________________________________
> Linux Mailing List - http://www.unixtech.be
> Subscribe/Unsubscribe: http://www.unixtech.be/mailman/listinfo/linux
> Archives: http://www.mail-archive.com/[email protected]
> IRC: efnet.skynet.be:6667 - #unixtech

-- 

-> Jean-Francois Dive
--> [EMAIL PROTECTED]

  There is no such thing as randomness.  Only order of infinite
  complexity.  - _The Holographic Universe_, Michael Talbot

_______________________________________________________
Linux Mailing List - http://www.unixtech.be
Subscribe/Unsubscribe: http://www.unixtech.be/mailman/listinfo/linux
Archives: http://www.mail-archive.com/[email protected]
IRC: efnet.skynet.be:6667 - #unixtech

Répondre à