|
|
Besucher 746173
Ansichten 5084
Online 0 |
|
|
| Thema |
Verfasser |
Letzte Antwort |
| Rootkit finden |
mirom ( ---.oncotours.de) |
10 Jun 2006 11:34 | Hallo,
ich habe auf einem neuen FC4-System tripwire installiert und nach einiger Zeit (12 Tage) 22 md5 - Änderungen gemeldet bekommen, ohne an dem System gearbeitet zu haben.
rkhunter und chkrootkit haben nichts gefunden. Die geänderten Dateien sind z.B. ntsysv, lokkit, authconfig, mke2fs.
Ich habe nun eine virtuelle Maschine aufgesetzt. Die md5sum ist korrekt. Nach herunterfahren der Firewall kann ich nach einiger Zeit eine geänderte md5sum feststellen.
Welche Möglichkeiten habe ich nun festzustellen, ob ich angegriffen wurde, woher der Angriff kam und welche Rechner noch befallen sind?
Kann der Angriff von ungeschützten Windows-Rechner stammen?
Ich wäre Euch sehr dankbar, wenn ihr mir einige Ansätze für das weitere Vorgehen geben könntet.
Vielen Dank
mirom |
| ||
| RE: Rootkit finden | Ralf ( ---.versanet.de) | 10 Jun 2006 11:34 |
Hallo,
welche Dateien sind denn betroffen? Einige Dateien werden von dem System tatsächlich selbst geändert. Diese müssen dann von der Überwachung durch Tripwire ausgeschlossen werden.
Nebenbei: Rkhunter und Chkrootkit können nicht alle Rootkits finden.
Gruß,
Ralf
|
[ Zurück ] Um ein neues Thema hinzu zu fügen müssen sie eingeloggt sein.
|
|
|
|
Welche Distribution verwenden Sie?
| |
|
|
|
17 Oct 2008: