Ich habe auch mal eine Frage.
Kennt sich jemand mit diesen sogenannten rootkits unter Linux aus. Diese rootkits sollen den Betriebsystemkern manipulieren um Ports zu öffnen und so jemandem das Eindringen in einen Linuxrechner zu ermöglichen.
Wie kann man man solche rootskits auf dem rechner aufspüren ?
Klaus_T 
KarstenW „rootkits unter Linux“
NANÜ KarstenW „rootkits unter Linux“
Hi,
von Klaus_T schon erwähnt, aber der rkhunter ist meiner Erfahrung nach der
gründlichste und auch übersichtlichste.
Gruß
NANÜ
XPectIT KarstenW „rootkits unter Linux“
Ist das rootkit erstmal installiert würde ich IMMER zu einer kompletten Neuinstallation raten.
Die o.a. Tool finden auch nur das bekannte, hat sich wirklich jemand an deinem Linuxrechner zu schaffen gemacht (ich rede speziell von Servern die ständig erreichbar sind), kannst du nie genau wissen was gemacht wurde.
rootkits manipulieren die Prozesslisten, Inhaltsverzeichnisse, Speichernutzung, Prozessorauslastung, Netzwerkeinstellugen... und im schlimmsten Fall alles auf einmal.
Ich habe mir angewöhnt, von den Verzeichnissen die im Pfad stehen und den Verzeichnissen die beim Systemstart durchsucht werden md5summen jeder einzelnen Datei anzulegen. In gewissen Abständen prüfe ich die Dateien dann und sehe genau wenn sich eine Datei verändert hat. - Das ist zwar auch kein Schutz, aber es erschwert schon auf dem Rechner etwas ausführbares zu plazieren.
Rika XPectIT „Ist das rootkit erstmal installiert würde ich IMMER zu einer kompletten...“
Tripwire sollte auch nützlich sein, um eine ungewollte Veränderung festzustellen, wenn man remote sysloged.
KarstenW Nachtrag zu: „rootkits unter Linux“
Vielen Dank für die Antworten. Bis jetzt bin ich von solchen rootkits wahrscheinlich verschont geblieben.
