Dateien auf Veränderung überprüfen

  • Thread starter Thread starter DerMitSkill
  • Start date Start date
D

DerMitSkill

Guest
Hallöchen..

Ich hab mir da mal Gedanken gemacht, wie man 'nen Server überwachen kann, um festzustellen, ob er infiziert wurde.

Das Ergebnis:
Nachdem der Server fertig eingerichtet und noch sauber ist, werden von allen Dateien (außer Logs und Cache-Dateien) eine Prüfsumme erstellt und gespeichert. Ein externen Server verbindet sich einmal pro Tag per SSH auf den Server und prüft, ob sich die Prüfsummen verändert haben. Wenn ja, wird der Serveradministrator benachrichtigt. Ändert man selbst etwas am Server, werden die entsprechenden Dateien mit neuen Prüfsummen versehen, weshalb es in dem Fall nicht zu einem Fehlalarm kommt.

Das ganze kommt mir recht einfach vor. Wo ist der Haken? Wo ist mein Denkfehler? Gibt's sowas schon fertig?

Grüße
 
So arbeitet z.B. rkhunter.

Gute Rootkits fangen aber Zugriffe ins Dateisystem ab und simulierten uninfizierte Dateien - die dann auch Dein Prüfsummentool sieht.
 
Würde es dadurch verhindert werden, wenn man zusätzlich die Dateigröße prüft? Eventuell des ganzen Ordners oder einer Partition (welche keine Dateien wie Logs und Cache enthält)?

Hast Du, oder jemand anderes, Informationen, wie Rootkits arbeiten bzw. wie man Infektionen bemerkt, um denen entgegen zu wirken?

Andere Ideen?
 
Warum sollte die Dateigröße ein Indiz sein?
Wenn ein Rootkit einen Hook so plaziert, daß es jeden Zugriff ins Dateisystem mitbekommt, kann es die auch anders melden.
Beispielsweise könnte es den eigenen Code dem orginalen Binary voranstellen und dann eine um die Rootkit-Länge verminderte Größe (und halt den ursprünglichen File-Inhalt) anzeigen.

Wenn ein Rootkit im System ist, kannst Du prinzipiell keinem Systemaufruf mehr trauen.
Verläßliche Untersuchung ist nur von außen (z.B. vom Rettungssystem aus) möglich.
 
You must log in or register to reply here.
Back
Top