Peter Blancke wrote:
On Mon, 17 Sep 2001, Guido Schiffer wrote:
Angenommen ein Virus verändert den Kernel, dann muß er ja auch neukompiliert werden,
Vorausgesetzt, er aendert den Sourcecode. Dann ja. Bei intimer Kenntnis der Binaries laesst sich der Kernel, der sich gerne als /boot/vmlinuz wiederfindet, aber auch direkt abaendern, was zweifelsohne weitaus diffiziler ist. So etwas haben wir aber bereits unter DOS-Zeiten gemacht, um speicherresidente Befehle aus COMMAND.COM fuer allzuneugierige Kunden stillzulegen. Das geht auch mit dem binaeren Kernel-Code.
Ausserdem lassen sich zur Laufzeit auch gewisse Dinge ueber das /proc Filesystem steuern oder aendern. In wie weit das aber kritisch ist, ist die Frage. Haengt sicherlich auch schwer vom Kenntnisstand des Angreifers ab. Wenn er aber mal root-Rechte auf dem System erlangt hat, dann ist IMHO eh meist alles zu spaet...
was naturgemäß ordentlich trafic auf der platte verursacht. Eigentlich sollte man das doch merken, oder?
Vorausgesetzt, man sitzt neben dem Server. Einer unserer Server steht aber absolut abseits und ausserdem kann ja der Job auch nachts gegen 2 Uhr stattfinden, da bin ich gewoehnlich nicht hier.
Wie? Du passt nachts um 2 Uhr nicht mehr auf Deinen Server auf? Ich dachte immer, die guten Admins gehen abends mit ihrem Server in die Heia.... :-)) Gruesse, Thomson -- Thomas Hertweck, Geophysicist Geophysical Institute, University of Karlsruhe Hertzstr. 16, D-76187 Karlsruhe, Germany