erfahrungen mit server-einbruch? hilfe gesucht
Bernhard Sadlowski
sadlowsk at mathematik.uni-bielefeld.de
Fri Nov 26 14:36:02 CET 2004
On 26 Nov 2004 13:59, Jan-Benedict Glaw <jbglaw at lug-owl.de> wrote:
> > Ein Problem könnte auch sein daß das "ps" schon ausgetauscht wurde und
> > nicht alles anzeigt. Vielleicht greift man dann auf ein statisch
> > gelinktes zurück das man von extern kopiert. Genauso auch mit anderen
> > tools.
>
> Das muß nicht greifen. All die Tools greifen letztlich nur auf die Daten
> zurück, die sie in /proc/ finden; wer *richtig* hackt, installiert
> gleich 'nen verstecktes Kernel-Modul, daß alle Spuren aus /proc/
> verschwinden läßt.
>
> Somit siehst Du offene Netzwerk-Ports nicht, ebensowenig wie die
> Trojaner etc...
Das ist sicher wahr, aber man sollte dennoch versuchen soviel zu sichern
wie es geht. Das folgende scheint auch ein guter und ausführlicher
Artikel zu sein:
http://www.linux-magazin.de/Artikel/ausgabe/2002/03/incidentresponse/incident.html
Einen wirklich sicheren Server startet man von CDROM, mit einer
speziellen Distribution oder einem Patch der selbst root nachher
Veränderungen im Kernel untersagt, mit allem ro gemountet und ohne
Support für kernel modules. Wer macht das aber auf Servern die ab und zu
Updates brauchen oder die mal umkonfiguriert werden müssen?
Gruss,
Bernhard
--
http://www.rz.fh-ulm.de/projects/datsusi/R0304_5.html
http://www.zeit.de/2004/29/Patente
http://www.sueddeutsche.de/computer/artikel/187/32155/
http://www.ffii.org/index.de.html
More information about the Linux
mailing list