19.05
2007
2007
Rootkits finden
Wichtige Dateien überprüfen
(inetd.conf / xinetd, services, Startdateien in rc.d, …)
- Oft „trojanisierte“ Programme
- ps,ls, find,ifconfig,netstat, du,df
- sshd,httpd
- login,passwd
- inetd, tcpd
- Verdächtige MACtimes in /sbin/ oder /usr/sbin? (verdächtige Binaries mit „strings“ ansehen)
- Dateien mit Link Count kleiner 1 (lsof+L1)
- Historysansehen (z.B. .bash_history)
- Normale Dateien imDeviceFile System (find /dev–typef)
- Geladene Module prüfen
- Nach Interfaces im „promiscousmode“ suchen (Sniffer)
- Analyse der installierten Pakete mit RPM
- # rpm –verify –all
- S.5….. /bin/ls
- S.5….T /usr/bin/named
- S.5….. /bin/netstat
- Logfilesauf verdächtige Einträge durchsuchen; Beispiel:
- Oct 31 16:52:33 opfer telnetd: connect from x.x.x.x
- Oct 31 16:52:34 opfer telnetd: ttloop: peer died: …
- => Buffer-Overflow-Angriff auf telnetd
- Offene Ports (Scan von außen mit netstatvergleichen –hiddenBackdoor?)
- Modulliste (wenn nicht versteckt)
- Vergleich der Systemsprungtabelle mit System.map
- Vergleich der Kernelsymboltabelle(/proc/ksyms) mit der eines „sauberen“Kernels
- Signatur (wenn bekannt und nicht verschlüsselt) im Speicher suchen (z.B. strings /dev/kmem)
- PID-Test (versuchen alle „freien“PIDs durch einen Testprozess zu belegen)
