7 Apr
2005
7 Apr
'05
07:57
On Wednesday 06 April 2005 22:33, Arno Lehmann wrote:
Äh. Ich hab' zwar noch nie ein Rootkit seziert
Ich hatte mal das Vergnügen einen gehackten Rechner auseinander zu nehmen. Damals lief dort ein 2.2.16 oder sowas. Der Hacker hatte so ca. 6 unterschiedliche Tools installiert, davon eins zum Mitschneiden der Tastatureingaben und eben SuckIT oder so, der sich an /sbin/init klebt. Konkret, er benennt /sbin/init nach /sbin/init.X11 oder so um und installiert ein Programm, dass der Rootkit startet und dann /sbin/init.X11 ausführt. Letztlich ist es mir gelungen, den Gutsten zu finden, mit E-mail, Name, Hausanschrift und Telefon. Daher besser initrd. Torsten