[EasyLinux-Ubuntu] Rootkit
Gerhard Brandenburg
gamma7 at gmx.net
Don Nov 22 11:17:04 CET 2007
Hallo Uwe und Joachim,
Am Donnerstag, 22. November 2007 11:02 schrieb Uwe Herrmuth:
> Hallo Joachim, hallo Gerhard,
>
> Am Donnerstag, 22. November 2007 10:37 schrieb Joachim Puttkammer:
> > Wie weit kannst Du last, log-Dateien etc. trauen, wenn Du das Gefühl
> > hast, Dein rechner wurde kompromittiert ?
> > Auf jeden Fall nicht genug.
> > In der IX 7/07 war ein Artikel und eine CD zu Incident Response Tools.
> > Die CD findest Du auch hier:
> > http://computer-forensik.org/tools/ix/
> >
> > Mit dieser CD startest Du auf dem laufenden System eine statisch gelinkte
> > shell, und hast div. Werkzeuge wie last, w, netstat ... zur Verfügung,
> > die alle statisch gelinkt sind. Ausserdem startest Du diese von der CD,
> > d.h. sie sind definitiv sauber.
> > Auf der CD ist auch noch eine sehr interessante readme.txt, führ Dir die
> > bitte zu Gemüte.
> >
> > Dieses Vorgehen würde ich Dir sehr empfehlen, ich nutze die CD immer,
> > wenn ich ein ungutes Gefühl haben (das sich bisher aber nie bestätigt
> > hat, toi toi toi).
>
> Deiner generellen Vorgehensweise bei Verdacht auf rootkits ist nichts
> hinzuzufügen.
> Wann und wie oft man das macht hängt wohl mit der eigenen Paranoia und der
> Gefährdung des Systems zusammen bzw. wie ist das System gegen Einbruch und
> damit dem Implantieren eines rootkits gesichert. Stichwort neueste
> Sicherheitsupdates, Firewall, restriktive User-Rechte.
> Ich glaube das war auch in dem von Gerhard erwähnten Artikel in der LU
> 01/07 gut rausgearbeitet.
>
Danke für die Tips.
Ich habe keinen generellen Verdacht, es ist nur eine Vorsichtsmaßnamhme.
Vor einiger Zeit habe ich einen Rootserver geordert (eigentlich nur, um mir
eine Domain zu sichern, die ich in näherer Zukunft mit einem Rootserver
brauchen werde).
In meiner Begeisterung, sowas zu haben, habe ich der Susi 10.1 den Stecken
gegeben und habe mit Sarge neu initialisiert und daraus ein Etch gemacht.
Dann habe ich auch schon dan Apachen mit MySQL und einen Haufen anderer Dinge
(Mailserver) installiert. Daten sind noch keine drauf. Woran ich in meiner
Hyperaktivität nicht gedacht habe (Schande über mich, Asche auf mein Haupt),
war, die Kiste abzusichern.
Nachdem ich das alles hatte und der Funktionsnachweis erbracht war, habe ich
den Server geistig in die Ecke gestellt, ohne ihn abzusichern (ja, ich weiss,
iptables etc....).
Jetzt stehe ich vor der Frage, ob mittlerweile in böser Mensch drauf war oder
nicht.
Die Chancen sollten nicht allzu groß sein. aber sicher ist sicher, die Kiste
soll ja nicht einenn Anfangsschaden haben.
Was tun, sprach Zeus.
Vielleicht kann ihm jemand kompetenterer (als ich) eine Antwort geben ...
Gruß Gerhard
PS: bei genauer Auslegung des Anti-Hacker-Gesetzes darf das kein Fremder
machen hua-huah-hua-brrrrr