[linux] Re: gerootkit
Jelle Boomstra
nllgg op nietsch.dds.nl
Zo Apr 23 11:55:59 CEST 2006
On Sunday 23 April 2006 11:38, Faust Nijhuis wrote:
> Hoe kan ik voorkomen dat een user (root) zomaar mailtjes gaat sturen en
> hoe kan ik zien
> welke mailjes er al verstuurd zijn.
Zorgen dat je default mailserver niet naar buiten kan mailen? maar dan neemt
de volgende rootkit zijn eigen mailservertje mee, zo moeilijk is smtp niet.
Met andere woorden, je kan op dat moment al niets meer doen behalve de
stekker er uit trekken.
>
> Wat is een goede protectie tegen rootkits?
Zo te zien ben je gevallen over ssh die een rootinlog toeliet icm met een
onveilig password? Waarom kon dat ueberhaubt. Ssh toegang alleen voor mortal
users en eigenlijk ook alleen vanaf bekende ip-adressen. Je kan nog verder
gaan en de (nmap, ssh en hhtp)scanners in de firewall tegenhouden, maar zo
ver ben ik nog nooit gegaan. Ik heb een keer een incidentje gehad met een
account 'test' (wachtwoord laat zich raden) op een unixshell virtueel
machientje. De reinstall duurde zo'n 5 minuten.
> Wat ik toe nu toe gedaan heb is mij systeem uptodate houden (yum) en
> elke scannen met rkhunter.
Aan een rootkit detector heb je niet veel, dan is het leed al geschied.
--
met vriendelijke groeten,
Jelle Boomstra
More information about the Linux
mailing list