Überlegungen zu chkrootkit und Automatisierung
Jan-Benedict Glaw
jbglaw at lug-owl.de
Fri Feb 6 16:51:35 CET 2004
On Fri, 2004-02-06 13:35:09 +0100, Markus Wigge <markus at cultcom.de>
wrote in message <402389FD.4010407 at cultcom.de>:
> Mmmh, nur mal so eine Idee, wenn auch nicht sehr sicher:
> Man könnte ein Script schreiben das chkrootkit startet und sich danach
> selbst wieder in die at-Queue reinschiebt.
:-)
Da alle User normalerweise Leserechte auf alle interessanten Dateien
haben (oder zumindest ein stat funktioniert), muß man
Checksummen-Programme nicht unbedingt als root starten.
Wenn ich also ein System angreifen würde, macht es nur eingeschränkt
Sinn, die crontab von root (und vielleicht noch die systemweiten
crontabs) durchzugucken. Ich möchte alle crontabs durchgucken. Da das
user für user zu doof ist, gucke man einfach alles unterhalb von
/var/spool/cron/ durch - da sind dann auch gleich die at-Einträge:)
> Damit hätte man dann einen ähnlichen Effekt wie mit Cron, das Ding
> wird regelmäßig gestartet, aber auf den ersten Blick stehen keine
> verdächtigen Einträge in irgendeiner Crontab...
...bis mal ein Aufruf fehlschlägt und sich nicht mehr selbst eintragen
kann. Fragil :)
MfG, JBG
--
Jan-Benedict Glaw jbglaw at lug-owl.de . +49-172-7608481
"Eine Freie Meinung in einem Freien Kopf | Gegen Zensur | Gegen Krieg
fuer einen Freien Staat voll Freier Bürger" | im Internet! | im Irak!
ret = do_actions((curr | FREE_SPEECH) & ~(NEW_COPYRIGHT_LAW | DRM | TCPA));
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 189 bytes
Desc: Digital signature
URL: <http://lug-owl.de/pipermail/linux/attachments/20040206/c0c10d51/attachment.sig>
More information about the Linux
mailing list