>>>>> "Pierre" == Pierre Schiesser <[EMAIL PROTECTED]> writes:
Pierre> Die Liste auf www.chkrootkit.org ist schon sehr ausfuehrlich Pierre> und beinhaltet die am meist verbreiteten/eingesetzten rKits, Pierre> wobei hier nur die stehen die auch erkannt werden, und genau Pierre> das ist das Problem, mir sind mindestens 2 rKits bekannt, wo Pierre> alle bisher erschienen Tools zur Erkennung, schon bei der Pierre> Identifizierung scheitern, und diese wird man auch nur durch Pierre> eine Neuinstallation vom System los, da die naemlich nicht, Pierre> wie die anderen bekannten rKits, ein Backup der Original Pierre> Dateien anlegen, alle anderen tun dies meistens in /dev/* Pierre> /var/log/* da dort ja eh kaum einer reinschaut. Beliebt sind dort insbesondere Hidden-Directories ala ... oder .backup. Pierre> Damit du dann auch noch etwas schlauer wirst, hier mal das, Pierre> was durch gepatche Versionen ersetzt wird bins: crontab, df, Pierre> dir, dmesg, du, find, ifconfig, killall, locate, login, ls, Pierre> netstat, ps, pstree, sshcheck, sshdconfig, syslogd, sz, tcpd, Pierre> top, updatedp, vdir Lustig ist es, wenn ein Angreifer ein Binary root-Kit f�r Linux/Intel auf einer Linux/MIPS auspackt. Gl�cklicherweise geht dann schon der normale Aufruf z.B. von ifconfig nicht. Damit fiel es dann immerhin auf - ein gutes root-Kit ist ohne Aufwand praktisch nicht zu erkennen (deshalb wird ja auch ps, ls, netstat und Co ausgetauscht). Pierre> Wie kann man es nun unterbinden das jemand ueberhaupt Pierre> interesse hat den Server zu uebernehmen ? Klar unsichere Pierre> Dienste wie telnet, ftpd, httpd sollte man, sofern machbar, Pierre> garnicht erst laufen lassen, aber meistens geht das nicht da Pierre> diese benoetigt werden (wenn man den Systemadministratoren Pierre> glaubt). Aber auch wenn diese Dienste wirklich benoetigt Pierre> werden, kann man den Server doch uninteressant machen, und Pierre> das geht doch einfacher als man denkt, etwas arbeit ist zwar Pierre> noetig aber was tut man nicht alles um etwas mehr Sicherheit Pierre> zu bekommen =) Hierzu schnappt man zb. den Source vom Apache Pierre> und mit einigen Aenderungen an diesem, wird er sich nachher Pierre> als zb. AOL Server x.x ausgeben, und das funktionert mit fast Pierre> allen Diensten, ProFTPD zb. tarnt man als WU-FTPD, OpenSSH Pierre> als zb. SSH, wenn hier jetzt einer interesse daran hat den Pierre> Server zu uebernehmen, dann wird er mit Garantie die falschen Pierre> exploits einsetzten *gg* Ach gegen einen OS Versions Scan Pierre> kann man sich auch schuetzen, jedoch ist hier eine Pierre> modifierung des Kernels von noeten, Freund sein Linux 2.2.19 Pierre> gibt sich als Amige Kickrom 3.0 aus *g* Was nicht wirklich hilft. Die Sammlung an Exploits kann man einfach laufen lassen. Dem Skript ist es egal, was f�r ein Server auf der anderen Seite l�uft. Sprich: ich halte das nicht f�r einen Gewinn - und als Admin muss ich eine bijektive Abbildung zwischen Original- und gefakter Version haben, damit ich z.B. BugTraQ Postings oder Updates zuordnen kann. Und nun noch, wie geht man eigentlich mit einem root-Kit um? Erkennen kann man es zum Beispiel mit tripwire - chkrootkit k�nnte von cleveren root-Kits ersetzt werden. Nach einem Einbruch bleibt nur noch ein Restore (falls man durch tripwire *wei�*, wann der Einbruch erfolgt ist), oder eine Neu-Installation. Und dann nat�rlich die neuesten Patches drauf. Jochen -- #include <~/.signature>: permission denied ---------------------------------------------------------------------------- PUG - Penguin User Group Wiesbaden - http://www.pug.org
