Rootkits: rkhunter und chkrootkit

Allgemeingültige Antworten gibt es nicht. Wenn du kein Tool hast, welches dir Prüfsummen über alle Dateien erstellt hat, ist es sehr schwierig, Veränderungen zu finden.

Auf jedem Fall aus dem Rescue-System arbeiten. Alles andere ist nicht länger vertrauenswürdig. Man braucht halt viel Erfahrung, eine Vorstellung von dem, was konkret auf dem Server wie lief und Ahnung von möglichen Sicherheitslücken, die dabei auftreten können.

Was ist denn konkret passiert? Im Zweifelsfall halt einen Profi bezahlen, als sinnlos im Trüben zu stochern und dabei mehr zu zerstören, als zu lösen.
 
Ein Prüfsummen Abgleich ist wie PapaBaer schon sagte das Sinnvollste.

Tools wie rkhunter und co. kann man mit ein paar billigen Tricks richtig schön an der Nase rumführen.
 
Wie sollen dem OP denn zum jetzigen Zeitpunkt Prüfsummen helfen? Wenn er davor welche erstellt hätte, wäre er wohl selbst auf diese Idee gekommen. maldet hat bspw. auch eine Funktion um Prüfsummen zu erstellen, allerdings wird ihm das jetzt wohl kaum weiterhelfen.
 
Die Diskussionen hier, ob jetzt das blaue oder das rote Snake Oil das bessere ist, finde ich ja sehr amüsant. :)
 
Das rote ist besser! :D
Naja, ich habe maldet hauptsächlich aus dem Grund empfohlen, dass es schlichtweg viel mehr Signaturen erkennt (7,241 insgesamt, 5393 MD5 und 1848 HEX) und auch "angepasste" Malware. Natürlich kommt es auch darauf an, um was genau es sich handelt, bzw. an welcher Stelle angegriffen wurde. Falls das System bereits infiziert wurde und keine Prüfsummen der Files verhanden sind, sollte man ohnehin alles neu aufsetzen, da man sich mit keinem Tool sicher sein kann, dass alles sauber ist.
 
Egal wie man es dreht, man braucht ja erstmal einen Zeitpunkt zu dem man das System als *safe* betrachten kann. Wenn der gegeben ist kann man überhaupt erstmal anfangen sich Gedanken zu machen. Alles andere ist doch eh nur Ressaurcenverballerei für nix und wieder nix.

Gruß Sven
 
You must log in or register to reply here.
Back
Top