[linux] Re: Ik ben gekraakt.
Hans Paijmans
J.J.Paijmans op uvt.nl
Ma Jun 27 15:53:40 CEST 2005
nllgg op ukemi.com wrote:
>>BTW: hoe goed is chkrootkit eigenlijk? Dat draai ik regelmatig met
>>een 'grep INFECTED'.
>
>
> Het doet precies dat: controleren of er een rootkit geinstalleerd is.
>
> Het overgrote deel van de gekraakte servers die hier de revue passeren
> hebben geen rootkit geinstalleerd, meestal omdat de kraker de moeite niet
> genomen heeft om sporen uit te wissen. Processen en binary's zijn gewoon te
> zien, hoewel de laatste vaak verwijderd worden nadat ze gestart zijn en
> /var/log meestal leeg is.
>
> Ik denk dat het vervangen van binary's door rootkit-exemplaren uit de mode is
> en vermoed dat e.e.a. tegenwoordig listig op kernel-niveau gebeurt.
>
Wat betekent dan (uit kern.log)
Jun 24 05:45:24 liegnitz kernel: UDP: bad checksum. From 81.56.184.242:6346 to 212.61.81.184:6347
ulen 27
Jun 24 07:01:28 liegnitz kernel: UDP: short packet: 64.217.152.101:6346 17664/27 to 212.61.81.184:2048
en nog beter: is er ergens een lijst van verdachte messages die je
in var/log kunt aantreffen?
Overigens, mijn /var/log/messages is erg leeg. Ik heb altijd aangenomen dat
dit een debian feature is, en dat de messages veel meer naar pakket onderverdeeld
zijn dan bij SuSE. MMaar ik word altijd meteen ongerust als ik aan
beveiliging denk - omdat ik er zo weinig van weet...
--
Dr. J.J. Paijmans
Tilburg University, Faculty of Arts, Dept. of Linguistics & AI
Tilburg, Netherlands (+31) (0)13-4662693 http://pi0959.kub.nl
Home: Elzenstraat 1, Waalre, 040-2230680 http://paijmans.net
More information about the Linux
mailing list