[linux] Re: gerootkit

D.J. van Enckevort david op vanenckevort.net
Ma Apr 24 09:40:31 CEST 2006


paai wrote:
> Jelle Boomstra wrote:
> ....
> 
> 
>>> Wat ik toe nu toe gedaan heb is mij systeem uptodate houden  (yum) en  
>>> elke scannen met rkhunter.
>>
>> Aan een rootkit detector heb je niet veel, dan is het leed al geschied.  
>>
> 
> Nou... dat vind ik wat overdreven. Overigens, ik gebruik regelmatig
> chkrootkit, hoe verhoudt zich dat tot rkhunter?

Vergelijkbaar. Beide bieden je een kans om de rootkit te vinden en 
maatregelen te nemen (server offline nemen en een rebuild doen). Echter, 
een slimme rootkit zal ook chkrootkit / rkhunter vervangen om zo 
verborgen te blijven. Daarmee levert het misschien alleen een vals 
gevoel van veiligheid.
Het beste is een goede restrictieve configuratie, up to date blijven, en 
continue een oogje in het zeil houden.

Ciao,
   David



More information about the Linux mailing list