t0rnkit ...
Florian Lohoff
flo at rfc822.org
Thu Feb 14 11:24:38 CET 2002
On Thu, Feb 14, 2002 at 11:10:42AM +0100, Johannes Goecke wrote:
> Hi,
> von wo ist IMHO schwer, denn ich traue nach einem Einbruch keinen
> logfiles mehr, wenn der Einbruch auch nur halbwegs "professionel"
> durchgeführt wurde, sind die Logfiles gefakted.
>
> Ich wurde (nach einem Hinweis) erst stutzig, als mein Syslog
> 3mal hintereinander gestartet wurde im abstand von wenigen Sekunden
> ohne daß der Rechner gebootet worden ist!
>
> interessant wäre sicherlich mal die Platte nach
> Dateien und Verzeichnissen zu durchsuchen, nach
> dateien, die sonst dem gefakten ls nicht sichtbar sind
> (z.B. logdateien von tcp-Sniffern...:-( )
Hier hilft oft ein
debsums -a
um die veraendeten binarys zu finden (debian only) oftmals ls, find,
du, df, ps, netstat, top, pstree. Die "rootkits" die ich bisher hatte
auf solaris und linux sind ausnahmslos in /dev/ installiert worden und
mit einem unmodifizierten find schnell auszumachen da normalerweise dort
keine files liegen.
> versuche den Tag des Einbruchs zu erkennen und suche mit find nach
> Dateien und Verzeichnissen die an diesem Tag erstellt wurden -
> oder nach Dateien die neuer sind als das Install-Date
> bzw. das Datum des letzten System-Updates
>
> achte dabei z.B. auf Versteckte Verzeichnisse (.z.B. <path>/.lib/ oder
> auf ".config" )
.
..
...
> ggf. auf binaries, die nicht zur Disti gehören (z.B. /usr/bin/ssh2d )
> der bei mir auf einem merkwürdigen Port gelauscht hat...
Oder ein "lpd" der eigentlich nicht installiert ist ...
Flo
--
Florian Lohoff flo at rfc822.org +49-5201-669912
Nine nineth on september the 9th Welcome to the new billenium
-------------- next part --------------
A non-text attachment was scrubbed...
Name: not available
Type: application/pgp-signature
Size: 232 bytes
Desc: not available
URL: <http://lug-owl.de/pipermail/linux/attachments/20020214/dbca2a38/attachment.sig>
More information about the Linux
mailing list