Re: [Forum] hacked - og hva så?

From: Esben Nielsen <simlo@ifa.au.dk>
Date: Mon Mar 18 2002 - 15:09:32 CET

Jeg fik downloaded et "chkrootkit" program, som scanner for kendte
rootkits og packetsniffere. Prøv
 http://www.chkrootkit.org/

Esben

On Mon, 18 Mar 2002, sascha dibbern wrote:

> Hej,
>
> her er nogen smaa tips af een som har proevet at vaere offer for saadanne
> hackerangreb. Disse tips er nok ikke fyldestgoerende men giver en ide om
> hvad disse 'populaere' hacker-root-kits laver paa dit system.
>
> 1. din /var/log/messages og /var/log/security ... kan du ikke have tillid
> til:
> a. enten er de helt 'toemt' for indhold => !!! Hacker-alarm !!
> eller
> b. rootkittet var saa smart at slette kun de linier, som kunne hjaelpe
> dig paa vej
>
> Min 'paranoid' tip=> for at 'fange' hacker(en/ne) senere vil det derfor
> vaere en god ide at installere et net-accounting (nacct) program, som
> protokollerer nettraffiken derudover. Maaske burde man ogsa gaa igang med
> at protokollere processer ;-)
>
> 2. programmer i /bin/ , /sbin/ , /usr/bin/ , /usr/sbin ... kan
> vaere overskreven paa en saadan maade at det skaber en
> stealth-mekanisne + backdoor til hackeren f.eks. fil-management
> (ls,cp..) & proces-management (top,ps,..) & net-management
> (netstat..)..
> Min 'paranoid'-tip: Jo smarter 'root-kittet' er,jo farliger er den, saa
> naar du checker/overskriver disse filer, saa boer du kun bruge programmer
> fra skrive-beskyttede medier f.eks. naar du checker checksum eller
> overinstaller igen.
>
> 3. du siger at din maskine blev rebootet => check evt. om aendringer i
> filer for bootprocessen. Her kan det ogsaa vaere at 'root-scriptet' har
> 'installeret' en helt ny kernel/saet kernel-moduler paa dit system =>
> worst case !!!
>
> 4. Naar du saa har 'cleanet' systemet saavidt at du har faet en
> til dels 'trustworthy' programmel-basis igen op at staa, saa kan
> det maaske vaere en ide om at soege efter fragmenter fra root-kittet paa
> harddisken (f.eks. ved at soege efter filer, med skabelsesdato i
> 'angrebstiden'). Man finder nogengange installationskoden
> til 'root'-scripts i f.eks. /dev-mappen gemt bag en filmappe med
> 'device-navn', eller hvis man har nogen Linux-sourcekode liggende paa sin
> maskine (/usr/src/linux...) saa kan det ofte vaere at finder fragmenter af
> 'root'-scriptet derinde.
> Med disse 'fragmenter' (installations-filer), kan du saa, hvis du er
> heldigt, finde ud af hvad der egentligt skete, da root-kittet
> blev installeret f.eks. hvilke filer, der blev udskiftet/manipuleret ....
>
> Haaber det kan hjaelpe dig lidt ;-)
>
> mvh
>
> Sascha
> --
> -=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
> A Priori Development I/S
> - Integration of webconcepts & eCommerce solutions
>
> Find us on the web at
> http://www.a-priori-development.com
>
> Sascha Dibbern
> Mobilephone: [+45] 28 12 82 76
> Workphone: [+45] 87 34 55 63
> Private homepage: http://sascha.dibbern.info/
>
> -=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
>
>
>
> --
> AaLUG Forum liste - Forum@aalug.dk
> http://www.aalug.dk/mailman/listinfo/forum
>
Received on Mon Mar 18 15:09:33 2002

This archive was generated by hypermail 2.1.8 : Tue Jul 19 2005 - 16:03:30 CEST