Archiv verlassen und diese Seite im Standarddesign anzeigen : angriff erkennen
moin
mich interessiert wie man cracker("hacker") angriffe auf dem system erkennen
kann. also das heisst auf einem system welches schon angeriffen wurde, keine
vorzeitige erkenneung (wie ids, ...).
ich hab mal tools für rootkit erkennung, lauffen gelassen (chkrootkit & rkhunter).
ausser dem suche ich in /dev nach files.
kennt da jemand noch aspekte welche man überprüfen sollte?
Mit tripwire und ähnlichen Programmen kann mittels MD5-Summen überprüft werden ob Dateien verändert wurden, jedoch sollte das in deinem Fall schon zu spät sein.
Allgemein kann man sich nachütlich auch auf die Logs stürzen, es besteht natürlich die Gefahr, dass diese auch verändert wurden.
Im Zweifelsfall immer Neuinstallation.
hab zu diesem thema noch einen link gefunden hier (http://www.tecchannel.de/betriebssysteme/715/0.html)
weiss jemand ob ein spezielles live-linux für solche fälle existiert?
Was meinst Du genau?
Wenn Du einen gecapturten Rechner forensisch analysieren willst kannst Du beispielsweise Sleuthkit und Autopsy nutzen.
Eine Suche nach diesen beiden Tools wird zu vielen Artikeln und HowTos führen.
Eine sehr gute Seite zum Thema ist http://honeynet.org/
mfg
cane
weiss jemand ob ein spezielles live-linux für solche fälle existiert?
Schau dir das mal an:
http://www.knoppix-std.org
snort
Was soll uns das sagen?
Snort ist ein IDS und keine Live-Cd und im geposteten Link geschrieben...
mfg
cane
Powered by vBulletin® Version 4.2.5 Copyright ©2024 Adduco Digital e.K. und vBulletin Solutions, Inc. Alle Rechte vorbehalten.