chkrootkit im cronjob

HELLinG3R · Beitrag von **HELLinG3R** » 21.02.2005 16:29:25

Hallo, ich habe kurz eine Frage bezüglich chkrootkit im cronjob.
Ich starte (wie beid er Installation per apt vorgeschalgen) täglich chkrootkit mit der option "-q" (quiet)

in der Readme steht allerdings, dass INFECTED ausgaben bei -x und -q nicht angezeigt werden.
wie erfahre ich nun, wenn chkrootkit positiv ausfällt, ohne mir jeden Tag mien Postfach mit negativausgaben vollzuspammen?

(man könnte einne grep auf "INFECTED" machen, ich weis, aber mich interessieren auch die anderen Wege)

DeletedUserReAsG · Beitrag von **DeletedUserReAsG** » 21.02.2005 16:41:14

Ein installiertes chkrootkit mit cron zu starten ist imho recht sinnlos, es ist das Erste, was ein rootkit selbst aushebeln wird.

cu

HELLinG3R · Beitrag von **HELLinG3R** » 21.02.2005 16:42:55

hm, in wie fern aushebeln? durch den namen?
wenn ich den chkrootkit aufruf in nem eigenen script (das dann von cron gestartet wird) tarne, sollte es automatisiert nicht mehr möglich sein...

DeletedUserReAsG · Beitrag von **DeletedUserReAsG** » 23.02.2005 10:55:33

Das wäre security by obscurity - nicht wirklich sicher. Würde ich ein rootkit schreiben, wäre eine der ersten Handlungen desselben, die vorhandenen ausführbaren Dateien auf dem System nach sowas wie chkrootkit zu durchsuchen. Dabei wäre mir der Name reichlich egal, die Programme selbst sind meist klein, so dass es mittels md5sum o.ä. nicht zu lange dauern sollte.

cu

HELLinG3R · Beitrag von **HELLinG3R** » 23.02.2005 11:52:46

okay, danke!