Wie erkennt man ein Rootkit?

[Fanti]

Hi Admins,
ihr hab den Horror gerade selbst erlebt. Aber wie seit ihr auf das Rootkit gestoßen? Eure Server basieren auf Unix/Linux. Wie findet man sowas? Mir wird es schlecht wenn mal ein Server den ich eingerichtet hab gerootet wird. Daher meine Frage. Wie macht sich ein Rootkit bemerkbar?

 

[|snoopy|]

Hi Fanti,
ich denke das hier das falsche Forum dafür ist;-)
Aber such mal über Suchmaschinen z.B. nach chkrootkit.

Damit lassen sich zumindest rootkits aufspüren.
Wie macht sich ein Kit bemerkbar?
Das ist unterschiedlich. Z.B. laufen unbekannte Prozesse - oder es sind plötzlich Ports geöffnet - usw.

Ausserdem stellt oftmals auch der Webhoster dies fest! Wenn z.B. von deinem Host plötzlich Spam- oder Phishingmails verschickt werden...
Greetz
|snoopy|

 

[gandalf94305]

Es gibt eine Reihe von Tools, z.B. chrootkit oder rkhunter. Letztendlich sind das jedoch nur Heuristiken, um gewisse Modifikationen aufzuspüren. Ein Rootkit erkennt man auch dann, wenn plötzlich Weltkonstanten sich ändern, z.B. ls oder ps nicht oder anders funktionieren... wie wir uns das eingefangen haben, ist immer noch nicht ganz klar.

--gandalf.

 

[3949354]

Hallo,
Habt Ihr es denn nur zufällig gefunden? Oder laufen die ganze Zeit Programme im Hintergrund, die den Server scannen, bzw Prozesse anzeigen?