[linux] Re: Ik ben gekraakt.

[nllgg op ukemi.com]

> BTW: hoe goed is chkrootkit eigenlijk? Dat draai ik regelmatig met
> een 'grep INFECTED'.

Het doet precies dat: controleren of er een rootkit geinstalleerd is.

Het overgrote deel van de gekraakte servers die hier de revue passeren
hebben geen rootkit geinstalleerd, meestal omdat de kraker de moeite niet
genomen heeft om sporen uit te wissen. Processen en binary's zijn gewoon te
zien, hoewel de laatste vaak verwijderd worden nadat ze gestart zijn en
/var/log meestal leeg is. 

Ik denk dat het vervangen van binary's door rootkit-exemplaren uit de mode is 
en vermoed dat e.e.a. tegenwoordig listig op kernel-niveau gebeurt.

Groet,

Hans
-- 
(\(\
(^.^)
(")")

*This is the cute bunny virus, please copy this into your sig so it can spread