En Thema: heb je chkrootkit al gedraaid, want de symtomen leken op ongewenst bezoek ...
Likes: 0
07/01/04 23:57
En Thema: heb je chkrootkit al gedraaid, want de symtomen leken op ongewenst bezoek ...
Dillard Blom, SmartDC - Dataport of Rotterdam
08/01/04 00:47
Nee, in de chrootkit ben ik me aan het verdiepen.
Het is overigens wel weer gelukt om de root van een password te voorzien (met hele grote dank aan HOST3000!! - Beetje reclame mag toch wel ;-).
In het shadow bestand was de root geheel verdwenen.
Nu ik de logboeken heb kunnen bekijken was er wel een waarschuwing van portsentrys van pottekijkers omtrent het tijdstip dat de update gedraaid werd. Wellicht dat dat de oorzaak was. Wel heel erg toevallig.
Als ik het goed begrijp kan de chrootkit er dus voor zorgen dat ongewenste visite ook geweerd wordt. In principe zorgt iptables, portsentrys ed daar toch voor? Of niet helemaal?
08/01/04 01:23
Dit maakt het wel wat duidelijker:
http://linux.cvf.net/installing_chkrootkit.html
09/01/04 00:31
Nu wel maar niets naar voren gekomen. Snap nu wel wat het doet...Origineel geplaatst door Dillard
En Thema: heb je chkrootkit al gedraaid, want de symtomen leken op ongewenst bezoek ...
09/01/04 00:36
Chkrootkit checkt voor een extra (!) controle als je vermoed dat je de pineut bent.
Als je het draait BEN JE AL TE LAAT!
A) Draai je updates. Het is druk afgelopen maand, met alleen al 3 kernel updates
B) Draai netjes je backup
C) Een firewall geloof ik persoonlijk niet in. Toch kan het handig zijn. APF (meen ik) lijkt me heel redelijk
D) Tripwire is erg handig voor sommige situaties.
Verder zweer ik bij een aangepaste kernel. 2.4.20 met een GRC Patch is ERG fijn.
My 3 cents. Als iemand 'm aan kan vullen, of vragen heeft......
