Linux:Hacking
Aus KissDoc
Dieses Dokument ist unfertig.
Mein Rechner wurde "gehackt". Damit weiss jeder halbwegs was gemeint ist - darum wollen wir diesen Begriff hier auch verwenden. Dabei gibt es unzählige Varianten ...
Rootkits
Allgemein
Bei einem platzierten Rootkit hat der "böse" auf dem System Dateien modifiziert, die es ihm ermöglichen jederzeit wieder root-Rechte zu erlangen. Um diese aufzusüren existieren diverse Programme, die natürlich nicht alles kennen können. Das eigentliche Problem ist damit sowiso nicht behoben, weil es ja einen Weg geben musste das root-Kit zu plazieren.
chkrootkitrootkit-Suchprogramm ( Debian-Packagechkrootkit)rkhunterrootkit-Suchprogramm ( Debian-Packagerkhunter)
erweiterte Dateattribute
Das Dateisystem ext (ext2 + ext3) besitzt für seine Dateien neben den Eigenschaften rwx noch weitere Eigenschaften, die aber den meisten Userrn unbekannt sind. Diese Eigenschaften werden auch meisst nicht benötigt, sind aber vor allem aus Sicht der Sicherheit interessant. Die Eigenschaften kann man sich mit dem Befehl lsattr anschauen. Normalerweise sollten hier keine Eigenschaften gesetzt sein. Wenn doch, dann kann das ein Hinweis auf ein gehacktes System hindeuten:
Ein Angreifer hatte bisher alle Hürden überwunden um in das System zu gelangen, tauscht ein Binry gegen sein modifiziertes aus und setzt z.B. das immutable-Flag. Damit kann diese Datei nicht verändert werden, auch von root nicht. Erst wenn man dieses Flag entfernt, wird ein Schreibzugriff wieder möglich.
