Tobias Kaefer wrote: > Ich will mich n�mlich in diesem Bereich ein wenig > schlauer machen um solche *lieben* Programm- > sammlungen gegebenenfalls auch erkennen zu k�nnen. Die Liste auf www.chkrootkit.org ist schon sehr ausfuehrlich und beinhaltet die am meist verbreiteten/eingesetzten rKits, wobei hier nur die stehen die auch erkannt werden, und genau das ist das Problem, mir sind mindestens 2 rKits bekannt, wo alle bisher erschienen Tools zur Erkennung, schon bei der Identifizierung scheitern, und diese wird man auch nur durch eine Neuinstallation vom System los, da die naemlich nicht, wie die anderen bekannten rKits, ein Backup der Original Dateien anlegen, alle anderen tun dies meistens in /dev/* /var/log/* da dort ja eh kaum einer reinschaut.
Damit du dann auch noch etwas schlauer wirst, hier mal das, was durch gepatche Versionen ersetzt wird bins: crontab, df, dir, dmesg, du, find, ifconfig, killall, locate, login, ls, netstat, ps, pstree, sshcheck, sshdconfig, syslogd, sz, tcpd, top, updatedp, vdir libs: libproc.so, libproc.so.*.*.* sshd: *hostkey, *hostkey.pub, *random_seed, sshd, sshd2_config, sshd_config optionale tools die mitgebracht werden: mirkforce, psybnc, scp, ssh, synscan Was meistens nach dem rKit zum Einsatz kommt ist ein sogenannter massrooter, hiermit wird automatisch 24 Stunden lang am Tag nach anderen Servern gescannt, die ueber eine veraltete Version von Diensten verfuegen und somit mit alten exploits uebernommen werden koennen (passiert automatisch), ein Teufelskreis. Was bringt ein massrooter mit ? bind, trybind, x496, pre123, pre4, tryftpd, wu, wus ,dbit, forcer, woot-exploit, bscan, ftp, lpd1, lpdx, trylpd, rpc, statdx, tryrpc, scanssh, tryssh, x2, in, ssh, telnet, trytelnet, brut, r00t Als letztes kommt vereinzelt auch noch optyx zum Einsatz, wobei das der absolute Alptraum fuer Systemadministratoren ist, den das Teil nistet sich als Backdoor direkt im Kernel des Systems ein, es kann auessert effektiv Prozesse verstecken und ist nahezu nicht mehr aufzufinden, das gibt es fuer die Kernel Version 2.2.x und 2.4.x, fuer 2.5.x wird es bestimmt noch kommen oder was aehnliches. Wie kann man es nun unterbinden das jemand ueberhaupt interesse hat den Server zu uebernehmen ? Klar unsichere Dienste wie telnet, ftpd, httpd sollte man, sofern machbar, garnicht erst laufen lassen, aber meistens geht das nicht da diese benoetigt werden (wenn man den Systemadministratoren glaubt). Aber auch wenn diese Dienste wirklich benoetigt werden, kann man den Server doch uninteressant machen, und das geht doch einfacher als man denkt, etwas arbeit ist zwar noetig aber was tut man nicht alles um etwas mehr Sicherheit zu bekommen =) Hierzu schnappt man zb. den Source vom Apache und mit einigen Aenderungen an diesem, wird er sich nachher als zb. AOL Server x.x ausgeben, und das funktionert mit fast allen Diensten, ProFTPD zb. tarnt man als WU-FTPD, OpenSSH als zb. SSH, wenn hier jetzt einer interesse daran hat den Server zu uebernehmen, dann wird er mit Garantie die falschen exploits einsetzten *gg* Ach gegen einen OS Versions Scan kann man sich auch schuetzen, jedoch ist hier eine modifierung des Kernels von noeten, Freund sein Linux 2.2.19 gibt sich als Amige Kickrom 3.0 aus *g* Das war jetzt nur variante fuer externe Angriffe, intern gibt es auch noch einiges, aber ich bin jetzt zu faul das alles auch noch niederzuschreiben, auf Wunsch reiche ich das die Tage gerne nach, dann kann ich auch erklaeren wie man die verschiedenen Dienste tarnt, nur heute fehlt mir die Zeit dafuer. -- Pierre 'death-row' Schiesser Oranienstrasse 21 65185 Wiesbaden / Germany ---------------------------------------------------------------------------- PUG - Penguin User Group Wiesbaden - http://www.pug.org
