Chkrootkit Aufbau: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
| (2 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
| Zeile 1: | Zeile 1: | ||
| + | |||
=chkrootkit= | =chkrootkit= | ||
*Hauptprogramm, das Betriebssystem-Binärdateien auf Rootkit-Änderungen überprüft, um zu erfahren, ob der Code verfälscht wurde. | *Hauptprogramm, das Betriebssystem-Binärdateien auf Rootkit-Änderungen überprüft, um zu erfahren, ob der Code verfälscht wurde. | ||
| + | ;Alle nachfolgend genannten Dateien sind in der ausführbaren Binärdatei chkrootkit vorhanden | ||
| − | =ifpromisc | + | =ifpromisc= |
*Prüft, ob sich die Schnittstelle im Promiscuous-Modus befindet. | *Prüft, ob sich die Schnittstelle im Promiscuous-Modus befindet. | ||
*Wenn sich eine Netzwerkschnittstelle im Promiscuous-Modus befindet, kann sie von einem Angreifer oder bösartiger Software verwendet werden, um den Netzwerkverkehr zu erfassen und später zu analysieren. | *Wenn sich eine Netzwerkschnittstelle im Promiscuous-Modus befindet, kann sie von einem Angreifer oder bösartiger Software verwendet werden, um den Netzwerkverkehr zu erfassen und später zu analysieren. | ||
| − | =chklastlog | + | =chklastlog= |
*Prüft auf Lastlog-Löschungen. | *Prüft auf Lastlog-Löschungen. | ||
*Lastlog ist ein Befehl, der Informationen über die letzten Anmeldungen anzeigt. | *Lastlog ist ein Befehl, der Informationen über die letzten Anmeldungen anzeigt. | ||
*Ein Angreifer oder Rootkit kann die Datei ändern, um eine Erkennung zu vermeiden, wenn der Systemadministrator diesen Befehl überprüft, um Informationen zu Anmeldungen zu erhalten. | *Ein Angreifer oder Rootkit kann die Datei ändern, um eine Erkennung zu vermeiden, wenn der Systemadministrator diesen Befehl überprüft, um Informationen zu Anmeldungen zu erhalten. | ||
| − | =chkwtmp | + | =chkwtmp= |
*Prüft auf wtmp-Löschungen. | *Prüft auf wtmp-Löschungen. | ||
*Ähnlich wie das vorherige Skript überprüft chkwtmp die Datei wtmp, die Informationen zu den Anmeldungen der Benutzer enthält, um zu versuchen, Änderungen daran zu erkennen, falls ein Rootkit die Einträge geändert hat, um die Erkennung von Eindringlingen zu verhindern. | *Ähnlich wie das vorherige Skript überprüft chkwtmp die Datei wtmp, die Informationen zu den Anmeldungen der Benutzer enthält, um zu versuchen, Änderungen daran zu erkennen, falls ein Rootkit die Einträge geändert hat, um die Erkennung von Eindringlingen zu verhindern. | ||
| − | =check_wtmpx | + | =check_wtmpx= |
*Dieses Skript ist das gleiche wie oben, aber für Solaris-Systeme. | *Dieses Skript ist das gleiche wie oben, aber für Solaris-Systeme. | ||
| − | =chkproc | + | =chkproc= |
*Prüft auf Anzeichen von Trojanern innerhalb von LKM (Loadable Kernel Modules). | *Prüft auf Anzeichen von Trojanern innerhalb von LKM (Loadable Kernel Modules). | ||
| − | =chkdirs | + | =chkdirs= |
*hat die gleiche Funktion wie oben, sucht nach Trojanern in Kernelmodulen. | *hat die gleiche Funktion wie oben, sucht nach Trojanern in Kernelmodulen. | ||
| − | =strings | + | =strings= |
*schneller und schmutziger String-Ersatz, der darauf abzielt, die Natur des Rootkits zu verbergen. | *schneller und schmutziger String-Ersatz, der darauf abzielt, die Natur des Rootkits zu verbergen. | ||
| − | =chkutmp | + | =chkutmp= |
*Dies ist ähnlich wie chkwtmp, prüft aber stattdessen die utmp-Datei. | *Dies ist ähnlich wie chkwtmp, prüft aber stattdessen die utmp-Datei. | ||
| − | |||
Aktuelle Version vom 20. Oktober 2022, 10:37 Uhr
chkrootkit
- Hauptprogramm, das Betriebssystem-Binärdateien auf Rootkit-Änderungen überprüft, um zu erfahren, ob der Code verfälscht wurde.
- Alle nachfolgend genannten Dateien sind in der ausführbaren Binärdatei chkrootkit vorhanden
ifpromisc
- Prüft, ob sich die Schnittstelle im Promiscuous-Modus befindet.
- Wenn sich eine Netzwerkschnittstelle im Promiscuous-Modus befindet, kann sie von einem Angreifer oder bösartiger Software verwendet werden, um den Netzwerkverkehr zu erfassen und später zu analysieren.
chklastlog
- Prüft auf Lastlog-Löschungen.
- Lastlog ist ein Befehl, der Informationen über die letzten Anmeldungen anzeigt.
- Ein Angreifer oder Rootkit kann die Datei ändern, um eine Erkennung zu vermeiden, wenn der Systemadministrator diesen Befehl überprüft, um Informationen zu Anmeldungen zu erhalten.
chkwtmp
- Prüft auf wtmp-Löschungen.
- Ähnlich wie das vorherige Skript überprüft chkwtmp die Datei wtmp, die Informationen zu den Anmeldungen der Benutzer enthält, um zu versuchen, Änderungen daran zu erkennen, falls ein Rootkit die Einträge geändert hat, um die Erkennung von Eindringlingen zu verhindern.
check_wtmpx
- Dieses Skript ist das gleiche wie oben, aber für Solaris-Systeme.
chkproc
- Prüft auf Anzeichen von Trojanern innerhalb von LKM (Loadable Kernel Modules).
chkdirs
- hat die gleiche Funktion wie oben, sucht nach Trojanern in Kernelmodulen.
strings
- schneller und schmutziger String-Ersatz, der darauf abzielt, die Natur des Rootkits zu verbergen.
chkutmp
- Dies ist ähnlich wie chkwtmp, prüft aber stattdessen die utmp-Datei.