Re: Frage zu chkrootkit

From: Manuel Stühn <FreeBSDnewbie(at)freenet.de>
Date: Mon, 1 Mar 2004 09:10:19 +0100

Am Samstag, 28. Februar 2004 21:24 schrieben Harold Gutch:
> On Sat, Feb 28, 2004 at 02:07:53PM +0100, Manuel Stühn wrote:
> > Hallo Liste.
> > Nachdem ich chkrootkit (aus den Ports) auf meinem FreeBSD 5.2.1
> > installiert hatte und es durchlaufen liess kam:
> > # chkrootkit | grep INFECTED
> > Checking `date'... INFECTED
> >
> Sieht mir nach einem Bug in chkrootkit aus, und zwar sucht das
> Programm in den zu untersuchenden Binaries nach dem regulaeren
> Ausdruck "^/bin/.*sh$|bash|elite$|vejeta|\.ark", auf den

Danke, das beruhigt mich ein wenig.

> > P.S.
> > Wie wahrscheinlich ist das eigentlich, dass sich auf einem Privatrechner
> > (an dem nur ich arbeite), der hinter einem HW-Router (der zum WAN keine
> > offenen Ports hat) ins Internet geht, rootkits einschleichen?
> > Software installiere ich nur aus den Ports. Falls ich doch mal andere
> > Software installiere, dann immer als user (wheel) in meinem
> > $HOME-Verzeichnis.
>
> Die Gefahr sollte relativ gering sein. Theoretisch kann ein
> Angreifer natuerlich ueber eine fehlerhafte Applikation die du
> ausfuehrst reinkommen, bzw. dir boesen Code unterjubeln - dabei
> ist er zunaechst auf deinen User beschraenkt, kann dann
> allerdings von dieser Stufe aus eine Verbindung zu sich nach
> aussen aufbauen, und dann ueber diese Verbindung auch von aussen
> wieder reinkommen (geht mit FreeBSD Bordmitteln z.B. mit ssh).
> Um ein rootkit zu installieren, benoetigt ein Angreifer aber
> immer root-Rechte. Wenn du dein System immer aktuell haeltst,
> und die security-notifications Liste liest, sollte die Gefahr,
> dass jemand als normaler User bei dir root-Rechte erlangt,
> allerdings ziemlich gering sein.

Werd ich mir merken. Nochmals Danke.

Gruß
Manuel

-- 
"Our software never has bugs - it just develops random features..."
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Mon 01 Mar 2004 - 09:18:41 CET

search this site