t0rnkit ...
Johannes Vieweg
jvg at gmx.net
Thu Feb 14 12:49:03 CET 2002
Am Mittwoch, 13. Februar 2002 20:54 schrieben Sie:
[CUT[
> ich habe auf einer mitlerweile ausgetauschten Maschine
> deutliche Spuren des t0rn Root-Kits gefunden.
> Mir ist auch ungefähr bekannt ab wann der Einbruch auf
> die Maschine stattgefunden haben muß, nur noch nicht ganz
> wie. Mein Verdacht ist momentan eine alte Version des
> wu.ftpd, nur weiß ich nicht wie und woran ich das genau
> fest machen kann...
>
> Gibt es irgendeine Strategie herauszufinden von wo ein
> Einbruch letztendlich erfolgt ist?
Tja, das Coroners Toolkit (The CoronersToolkit) soll wohl
bei solchen Fällen hilfreich sein. In der aktuellen Ausgabe
des Linuxmagazins ist ein Artikel über Spurensuche nach
dem Einbruch zu finden.
Johannes
P.S.: TCT: http://www.porcupine.org/forensics/tct.html
More information about the Linux
mailing list