Hallo, 29.10.2009 22:35, Heinz Diehl wrote:
On 29.10.2009, Erik P. Roderwald wrote:
gibt es eine möglichkeit festzustellen, ob wir "gehackt" wurden?
1. netstat -apnee 2. ps aux 3. Verzeichnisse durchsuchen 4. Sniffer einsetzen [....]
Wenn eine Maschine "gehackt" wurde, dann ist sie unter fremder Kontrolle. Alle genannten Massnahmen sind vergeblich.
Ich zitiere hier Werner Koch, wenngleich er das Zitierte aus einem ganz anderen Grund und Sachverhalt geschrieben hat, uebertragen passt es doch:
"Please repeat with me: There is no way to avoid or detect backdoors if physical access to the machine has ever been granted."
Wenn die Maschine "gehackt" wurde, und der Eindringling Zugriff hat/hatte, dann soltest du dir im Klaren sein, dass er alles manipulieren kann. Du wirst keine Chance haben, das zu entdecken.
In diesem Falle gibt es doch eine kleine Chance: du hast eine Checksummen Datenbank auf einem externen Medium (CD-R), das von (d)einem nachweislich unkompromittierten System vor dem Event gemacht wurde.
Stichwort: aide.
Andere Stichworte: Bacula und Verify-Jobs. Damit /etc /sbin /usr/sbin /bin /usr/bin (und ggf. alles andere was sich nicht ändern soll) überwachen. Wenn dann noch die Datenbank auf einem anderen Server liegt - bestens :-) Arno -- Arno Lehmann IT-Service Lehmann Sandstr. 6, 49080 Osnabrück www.its-lehmann.de -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org