Re: Hacker auf System! was kann ich machen

Matthias Fechner <idefix(at)fechner.net> wrote:
> hab heute einen Hacker auf unserem System entdeckt.
> Hab gleich mal ein make world gemacht, er hatte naemlich auch einige
> Programme ausgetauscht(ps, ls netstat und einige andere).

Und was ist, wenn er auch den Compiler manipuliert hat?
Dann hilft ein »make world« überhaupt nichts, sondern nur
Platte plattmachen und von einem bekannt »sauberen« Medium
re-installieren.

Ich kann in diesem Zusammenhang folgende Lektüre wärmstens
empfehlen: »Reflections on Trusting Trust« von Ken Thompson,
1984, zu finden unter: http://www.acm.org/classics/sep95/

Das Manifest aller Paranoiker. ;-)

> So wie es aussieht, hat er sich ein Backdoor mit dem Programm swapper
> gebastelt.
>
> kann mir einer mal kurz erklaeren, was dieses Programm macht?
> Finde naemlich keine manpage dazu.
> ------
> root 0 0.0 0.0 0 0 ?? DLs 7:11PM 0:00.00 (swapper)

Der Swapper ist kein Programm, sondern eine Art Kernel-
Kontext. Vereinfacht gesagt ist es ein Teil des Kernels,
für den aus strukturellen Gründen ein Eintrag in der Pro-
zeßtabelle existiert.

Ich halte es für äußerst unwahrscheinlich, daß er da eine
Backdoor eingebaut hat. Wie kommst Du überhaupt auf diese
Vermutung?

> Naja, ich hoffe denn hab ich jetzt draussen, hab die ip und alles andere,
> hab dann auch mal einen tcpdump mitlaufen lassen, was kann man denn gegen
> solche Leute unternehmen?

Die Löcher feststellen und abdichten.

> Und wie kann ich mir ziemlich sicher sein, das er nicht mehr in das System
> rein kommt?

Wie gesagt: Die Löcher feststellen und abdichten.

Gruß
   Olli

-- 
Oliver Fromme, secnetix GmbH & Co KG, Oettingenstr. 2, 80538 München
Any opinions expressed in this message may be personal to the author
and may not necessarily reflect the opinions of secnetix in any way.
"All that we see or seem is just a dream within a dream" (E. A. Poe)
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message