PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : angriff erkennen



elxdio
26.01.05, 13:46
moin

mich interessiert wie man cracker("hacker") angriffe auf dem system erkennen
kann. also das heisst auf einem system welches schon angeriffen wurde, keine
vorzeitige erkenneung (wie ids, ...).

ich hab mal tools für rootkit erkennung, lauffen gelassen (chkrootkit & rkhunter).
ausser dem suche ich in /dev nach files.


kennt da jemand noch aspekte welche man überprüfen sollte?

steve-e
26.01.05, 15:03
Mit tripwire und ähnlichen Programmen kann mittels MD5-Summen überprüft werden ob Dateien verändert wurden, jedoch sollte das in deinem Fall schon zu spät sein.


Allgemein kann man sich nachütlich auch auf die Logs stürzen, es besteht natürlich die Gefahr, dass diese auch verändert wurden.

Im Zweifelsfall immer Neuinstallation.

elxdio
27.01.05, 10:08
hab zu diesem thema noch einen link gefunden hier (http://www.tecchannel.de/betriebssysteme/715/0.html)


weiss jemand ob ein spezielles live-linux für solche fälle existiert?

cane
27.01.05, 19:14
Was meinst Du genau?

Wenn Du einen gecapturten Rechner forensisch analysieren willst kannst Du beispielsweise Sleuthkit und Autopsy nutzen.

Eine Suche nach diesen beiden Tools wird zu vielen Artikeln und HowTos führen.

Eine sehr gute Seite zum Thema ist http://honeynet.org/

mfg
cane

IT-Low
27.01.05, 19:15
weiss jemand ob ein spezielles live-linux für solche fälle existiert?

Schau dir das mal an:

http://www.knoppix-std.org

destrukt
27.01.05, 19:17
snort

mfg dkt.c

cane
27.01.05, 19:31
snort

Was soll uns das sagen?

Snort ist ein IDS und keine Live-Cd und im geposteten Link geschrieben...

mfg
cane