rootkit finden

degate · Beitrag von **degate** » 03.08.2004 20:22:24

hallo zusammen

leider wurde ein server von mir "gehackt"

(kstat hatte div. änderungen an der system table gemeldet (unter anderem))

naja, das system läuft wieder

aber nun hab ich die platte hier als weitere platte an einem debian system gemounted (garantiert rootkit-frei

), und kann das rootkit nicht finden

(ich will zumindest wissen, welches rootkit das war.

chkrootkit findet nix.)

kann mir jemand sagen, in welchen dateien/orten sich ein rootkit beim booten startet?

ich hab auch gelesen, das rootkits der neueren generation (z.b. adore-ng) das dateisystem selbst verändern, sodass selbst ein rootkit-freies system z.b. ein bestimmtes verzeichnis nicht lesen können, bzw. es nicht anzeigen.

(ist ein ext3 fs)

ich hoffe jemand kann mir helfen....

andy

vogella · Beitrag von **vogella** » 03.08.2004 22:55:31

Hallo,

nach http://www.chkrootkit.org/ gibt es 54 rootkits, welche alleine durch chkrootkit gefunden werden. Unter related Links einen Haufen Infos dazu.

VIele Grüße, Lars

Savar · Beitrag von **Savar** » 03.08.2004 23:17:45

hmm.. hast du chkrootkit mal ausgeführt wenn du vorher ein "chroot" auf die gemountete Platte gemacht hast?

wär jetzt mal ne spontane Idee.. damit er auch in den richtigen Verzeichnissen sucht... und das Problem ist auch, dass manche Rootkits gefunden werden wenn sie aktiviert sind.. also wirst du sie als "angemountete" Platte vielleicht nicht finden..