Überlegungen zu chkrootkit und Automatisierung

[Stefan Ulrich Hegner]

Moin JBG,

Am Fr, den 06.02.2004 schrieb Jan-Benedict Glaw um 12:12:
> On Fri, 2004-02-06 12:02:44 +0100, Stefan Ulrich Hegner <stefan at hegner-online.de>
> Schlimmer - er könnte ein Kernel-Modul installieren, daß "ls" immer
> abfängt (egal, ob Du "ls" oder "/mnt/cdrom/known_good_binaries/ls"
> eingibst) und seine Version davon ausführt.

und vermutlich ist das ein Modul, was durch lsmod nicht angezeigt wird,
weil lsmod dann auch schon korrupt ist, ja?

> Du hast keine "sicheren" Binaries. Nirgends.

Das hieße dann, wenn ich chkrootkit "halbwegs" sinnvoll einsetzen will,
mache ich das von einem anderen PC im LAN, der im maskierten Netz hängt,
keine Ports offen hat usw. und geb' ihm das "/" vom Server per NFS.

Nach Deiner Definition, wäre das auch nicht *wirklich* sicher (eine
Knoppix CD wäre wohl besser), aber zumindest deutlich besser dazu
geeignet um ein rootkit aufzuspüren, ja?

> > Mich würd' interessieren, ob von Euch sich hierzu schon mal Gedanken
> > gemacht hat und zu passablen Ergebnissen gekommen ist.
> 
> Dagegen hilft nur, immer sofort Security-Updates einzuspielen und nichts
> laufen zu lassen, was nicht absolut notwendig ist.

Ersteres ist kein Problem (Gentoo, tägliche updates), letzteres etwas
schwieriger, weil es halt meine 24/7 Kiste zu Hause ist, und dort mache
ich so einiges was Du sicher als "nicht absolut notwendig" einstufen
würdest.

> chkrootkit kann man bestimmt hintergehen:)

Klar. Du kannst vermutlich so ziemlich alles hintergehen. Aber unter den
Hackern gibt es ja auch durchaus Abstufungen was die Intelligenz und die
Kreativität angeht. Wenn ich auf diesem Wege vielleicht die 80% der
dümmeren Hacker ausschalte, ist damit doch auch schon was gewonnen. -
Und bei den anderen 20% ist die Frage, ob die sich überhaupt für meine
bescheidene Kiste interessieren ...

> > - binaries in ein loop-fs container packen, den mit gpg signen
> Bringt Dir nur sehr begrenzt etwas...
Hälst Du diesen "begrenzten" Nutzen für sinnreich bei der oben
vorgeschlagenen Variante (2. Rechner (aber nicht Knoppix)).

> > ... schreibt mir doch mal, wie Ihr sowas anpackt!
> Schneller sein :)

Auch gut. Bloß ich glaub' kaum, dass ich sehr schnell merken würde was
abgeht. Und wenn ich da im Verdachtsfall (und bei Routinechecks) zu
"chkrootkit" greifen kann, ist das zumindest ein erster Versuch, oder?

Gruß

Stefan.

-- 
/ Stefan Ulrich Hegner aka "Hegi" - Loehne/ Westfalen - Germany \
| stefan at hegner-online.de, my Cyberhome http://www.hegner-web.de|
\ GPG-Fprint D9DB 51BD 2DA6 9B3A 41CB  0287 05A1 8D11 38BA CE91 /
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 189 bytes
Desc: Dies ist ein digital signierter Nachrichtenteil
URL: <http://lug-owl.de/pipermail/linux/attachments/20040206/94adb889/attachment.sig>