[linux] Re: gerootkit

Jelle Boomstra nllgg op nietsch.dds.nl
Zo Apr 23 11:55:59 CEST 2006


On Sunday 23 April 2006 11:38, Faust Nijhuis wrote:
> Hoe kan ik voorkomen dat een user (root) zomaar mailtjes gaat sturen en
> hoe kan ik zien
> welke mailjes er al verstuurd zijn.

Zorgen dat je default mailserver niet naar buiten kan mailen? maar dan neemt 
de volgende rootkit zijn eigen mailservertje mee, zo moeilijk is smtp niet. 
Met andere woorden, je kan op dat moment al niets meer doen behalve de 
stekker er uit trekken.
>
> Wat is een goede protectie tegen rootkits?

Zo te zien ben je gevallen over ssh die een rootinlog toeliet icm met een 
onveilig password? Waarom kon dat ueberhaubt. Ssh toegang alleen voor mortal 
users en eigenlijk ook alleen vanaf bekende ip-adressen. Je kan nog verder 
gaan en de (nmap, ssh en hhtp)scanners in de firewall tegenhouden, maar zo 
ver ben ik nog nooit gegaan. Ik heb een keer een incidentje gehad met een 
account 'test' (wachtwoord laat zich raden) op een unixshell virtueel 
machientje. De reinstall duurde zo'n 5 minuten.

> Wat ik toe nu toe gedaan heb is mij systeem uptodate houden  (yum) en  
> elke scannen met rkhunter.

Aan een rootkit detector heb je niet veel, dan is het leed al geschied.  

-- 
met vriendelijke groeten,
Jelle Boomstra




More information about the Linux mailing list