Wie erkennt man ein Rootkit?

Fanti

Neuer User
Mitglied seit
22 Mrz 2006
Beiträge
95
Punkte für Reaktionen
2
Punkte
8
Hi Admins,
ihr hab den Horror gerade selbst erlebt. Aber wie seit ihr auf das Rootkit gestoßen? Eure Server basieren auf Unix/Linux. Wie findet man sowas? Mir wird es schlecht wenn mal ein Server den ich eingerichtet hab gerootet wird. Daher meine Frage. Wie macht sich ein Rootkit bemerkbar?
 

|snoopy|

Neuer User
Mitglied seit
3 Jun 2007
Beiträge
36
Punkte für Reaktionen
0
Punkte
0
Hi Fanti,
ich denke das hier das falsche Forum dafür ist;-)
Aber such mal über Suchmaschinen z.B. nach chkrootkit.

Damit lassen sich zumindest rootkits aufspüren.
Wie macht sich ein Kit bemerkbar?
Das ist unterschiedlich. Z.B. laufen unbekannte Prozesse - oder es sind plötzlich Ports geöffnet - usw.

Ausserdem stellt oftmals auch der Webhoster dies fest! Wenn z.B. von deinem Host plötzlich Spam- oder Phishingmails verschickt werden...
Greetz
|snoopy|
 
G

gandalf94305

Guest
Es gibt eine Reihe von Tools, z.B. chrootkit oder rkhunter. Letztendlich sind das jedoch nur Heuristiken, um gewisse Modifikationen aufzuspüren. Ein Rootkit erkennt man auch dann, wenn plötzlich Weltkonstanten sich ändern, z.B. ls oder ps nicht oder anders funktionieren... wie wir uns das eingefangen haben, ist immer noch nicht ganz klar.

--gandalf.
 
3

3949354

Guest
Hallo,
Habt Ihr es denn nur zufällig gefunden? Oder laufen die ganze Zeit Programme im Hintergrund, die den Server scannen, bzw Prozesse anzeigen?