---

Hejsa

Hvis jeg har en server med RH7.1 som jeg gerne ville scanne
i gemmen for at chekke om den skulle være inficeret med
orme, rootkits(jeg ved godt at det ikke altid er muligt)
og andre ligende ting. Er der nogen programmer som i kan
anbefale til dette?

Martin

---

Martin Schultz <di020172@brok.diku.dk> wrote:
> Hvis jeg har en server med RH7.1 som jeg gerne ville scanne
> i gemmen for at chekke om den skulle være inficeret med
> orme, rootkits(jeg ved godt at det ikke altid er muligt)
> og andre ligende ting. Er der nogen programmer som i kan
> anbefale til dette?

Lad vaere med at bruge for meget tid paa rootkit checkers, osv. Brug i
stedet mtree, tripwire eller lign til at lave hashsums af alle dine
binaries. Saa ved du altid om dit system er blevet aendret. Beskyt din
database godt og scan dit system som det nu passer til dit miljoe.


--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

---

Alex Holst <a@mongers.org> writes:

> Martin Schultz <di020172@brok.diku.dk> wrote:
> > Hvis jeg har en server med RH7.1 som jeg gerne ville scanne
> > i gemmen for at chekke om den skulle være inficeret med
> > orme, rootkits(jeg ved godt at det ikke altid er muligt)
> > og andre ligende ting. Er der nogen programmer som i kan
> > anbefale til dette?
>
> Lad vaere med at bruge for meget tid paa rootkit checkers, osv. Brug i
> stedet mtree, tripwire eller lign til at lave hashsums af alle dine
> binaries. Saa ved du altid om dit system er blevet aendret. Beskyt din
> database godt og scan dit system som det nu passer til dit miljoe.

Problemet er at det er en maskine jeg har overtaget efter en anden og
der ikke eksistere hashsums eller ligende fra tidligere, så jeg vil gerne
chekke maskinen selv om jeg ikke har nogen decideret mistanke om der er
noget galt.

Martin

---

Martin Schultz <di020172@brok.diku.dk> wrote:
> Problemet er at det er en maskine jeg har overtaget efter en anden og
> der ikke eksistere hashsums eller ligende fra tidligere, så jeg vil gerne
> chekke maskinen selv om jeg ikke har nogen decideret mistanke om der er
> noget galt.

Saa vidt jeg husker kan du hente en liste over gode hashsums fra Red
Hat's website.

Men du skal jo alligevel gaa alle dine configs igennem for at vaere
sikker. Selvom httpd ikke er blevet trojanet, kan der sagtens ligge end
ond .cgi et sted som udfoerer kommandoer efter behov, eller lign.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

---

On 23 Oct 2002 11:00:41 +0200
Martin Schultz <di020172@brok.diku.dk> wrote:
> Hejsa
>
> Hvis jeg har en server med RH7.1 som jeg gerne ville scanne
> i gemmen for at chekke om den skulle være inficeret med
> orme, rootkits(jeg ved godt at det ikke altid er muligt)
> og andre ligende ting. Er der nogen programmer som i kan
> anbefale til dette?

som Alex fint nævner så skal du ikke ikke bruge for megen tid på at
bruge rootkit checkers, da de sjældent kan garantere noget som helst.
Hvis du alligevel vil lege med den slags så kig på chkrootkit (søg på
google, den er ganske populær).
Det søger din maskine igennem for en stor del gense rootkits og orme
(sidst tilføjede er vist Slapper), og kommer med en kort besked ala
"Infected" eller "Not infected" for hver fil som rootkits normalt ændrer
osv.


--
Kim Schulz - Freelance Development | Never let your schooling interfere
Email : kim @ schulz.dk | with your education.
Tlf : 51904262 |