/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Opdagelses af orme, rootkits og andre hull~
Fra : Martin Schultz


Dato : 23-10-02 10:01

Hejsa

Hvis jeg har en server med RH7.1 som jeg gerne ville scanne
i gemmen for at chekke om den skulle være inficeret med
orme, rootkits(jeg ved godt at det ikke altid er muligt)
og andre ligende ting. Er der nogen programmer som i kan
anbefale til dette?

Martin

 
 
Alex Holst (23-10-2002)
Kommentar
Fra : Alex Holst


Dato : 23-10-02 10:16

Martin Schultz <di020172@brok.diku.dk> wrote:
> Hvis jeg har en server med RH7.1 som jeg gerne ville scanne
> i gemmen for at chekke om den skulle være inficeret med
> orme, rootkits(jeg ved godt at det ikke altid er muligt)
> og andre ligende ting. Er der nogen programmer som i kan
> anbefale til dette?

Lad vaere med at bruge for meget tid paa rootkit checkers, osv. Brug i
stedet mtree, tripwire eller lign til at lave hashsums af alle dine
binaries. Saa ved du altid om dit system er blevet aendret. Beskyt din
database godt og scan dit system som det nu passer til dit miljoe.


--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

Martin Schultz (23-10-2002)
Kommentar
Fra : Martin Schultz


Dato : 23-10-02 10:27

Alex Holst <a@mongers.org> writes:

> Martin Schultz <di020172@brok.diku.dk> wrote:
> > Hvis jeg har en server med RH7.1 som jeg gerne ville scanne
> > i gemmen for at chekke om den skulle være inficeret med
> > orme, rootkits(jeg ved godt at det ikke altid er muligt)
> > og andre ligende ting. Er der nogen programmer som i kan
> > anbefale til dette?
>
> Lad vaere med at bruge for meget tid paa rootkit checkers, osv. Brug i
> stedet mtree, tripwire eller lign til at lave hashsums af alle dine
> binaries. Saa ved du altid om dit system er blevet aendret. Beskyt din
> database godt og scan dit system som det nu passer til dit miljoe.

Problemet er at det er en maskine jeg har overtaget efter en anden og
der ikke eksistere hashsums eller ligende fra tidligere, så jeg vil gerne
chekke maskinen selv om jeg ikke har nogen decideret mistanke om der er
noget galt.

Martin

Alex Holst (23-10-2002)
Kommentar
Fra : Alex Holst


Dato : 23-10-02 10:30

Martin Schultz <di020172@brok.diku.dk> wrote:
> Problemet er at det er en maskine jeg har overtaget efter en anden og
> der ikke eksistere hashsums eller ligende fra tidligere, så jeg vil gerne
> chekke maskinen selv om jeg ikke har nogen decideret mistanke om der er
> noget galt.

Saa vidt jeg husker kan du hente en liste over gode hashsums fra Red
Hat's website.

Men du skal jo alligevel gaa alle dine configs igennem for at vaere
sikker. Selvom httpd ikke er blevet trojanet, kan der sagtens ligge end
ond .cgi et sted som udfoerer kommandoer efter behov, eller lign.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

Kim Schulz (23-10-2002)
Kommentar
Fra : Kim Schulz


Dato : 23-10-02 10:31

On 23 Oct 2002 11:00:41 +0200
Martin Schultz <di020172@brok.diku.dk> wrote:
> Hejsa
>
> Hvis jeg har en server med RH7.1 som jeg gerne ville scanne
> i gemmen for at chekke om den skulle være inficeret med
> orme, rootkits(jeg ved godt at det ikke altid er muligt)
> og andre ligende ting. Er der nogen programmer som i kan
> anbefale til dette?

som Alex fint nævner så skal du ikke ikke bruge for megen tid på at
bruge rootkit checkers, da de sjældent kan garantere noget som helst.
Hvis du alligevel vil lege med den slags så kig på chkrootkit (søg på
google, den er ganske populær).
Det søger din maskine igennem for en stor del gense rootkits og orme
(sidst tilføjede er vist Slapper), og kommer med en kort besked ala
"Infected" eller "Not infected" for hver fil som rootkits normalt ændrer
osv.


--
Kim Schulz - Freelance Development | Never let your schooling interfere
Email : kim @ schulz.dk | with your education.
Tlf : 51904262 |

Søg
Reklame
Statistik
Spørgsmål : 177560
Tips : 31968
Nyheder : 719565
Indlæg : 6408941
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste