Per la mia esperienza (letture di phrack BFi e altro, prevalentemente), dipende dai rootkit che si vogliono sommare.Originariamente inviato da HarravanS
Io ho letto, non ricordo dove, che i rootkit non sono "sommabili" ovvero se ne può mettere uno solo.
Alcuni admin li installano quindi e li tengono sottocontrollo per evitare che ne vengano installati sul sitema da terzi.
VVoVe:
Confermate questa info?
"Qualsiasi esperto ha paura di combattere usando la katana vera. Anch'io. Ma non ignoro la mia paura, riesco ad accettarla, e a metterla da parte accanto a me".
Ho appena finito un paio di test utilizzando due tools diversi:
chkrootkit e rootkit-hunter
Dal primo test con chkrootkit, il sistema pare godere di ottima salute e che non risenta di alcuna intromissione.
Il report stilato da rootkit-hunter, invece mi ha lasciato perplesso, in quanto non segnala la presenza certa di rootkit o malware od altre schfezza, ma segnala la non corrispondenza dei cheksum di una quindicina di files.
Devo ancora provare a fare un confronto su alcuni pacchetti installati (pacchetti base), ma mi domando e dico:
potrebbe non essere aggiornato il database di rootkit-hunter e quindi segnalarmi queste anomalie?
Il problema persiste sulla mia slack-current, mentre sulla slack 10.0 aggiornata è 'pulita'.
Questo è il mio contributo, non manchero' di fare sapere di ulteriori sviluppi.
ciao
Slack? Smack!
Invece è vero, ma solo per alcuni rootkit, in particolare per alcuni di quelli che che agiscono a livello kernel, come ad esempio adore. Non si può istallare due volte adore sullo stesso sistema.Originariamente inviato da Ilmalcom
Mi pare estremamente stranoSicuro di avere capito bene?
Marco Allegretti
shishii@tiscalinet.it
Lang: PERL, PHP, SQL.
Linux user n° 268623 Fedora Core 10, Fedora Core 6, Debian Sarge on mips
scusate l'ignoranza (ho anke cercato su google ma nn ho trovato niente), cosa è in pratica un rootkit....sembra essere un programma, eseguibile o cmq un oggetto con lo stesso nome di un programma di linux che viene installato al posto di quello "buono" e che un cracker puo' sfruttare...
chi mi illumina?
[TIGER]
/usr/bin/strings: Warning: '/' is not an ordinary file
[/TIGER]
tiger mentre analizzava mi ha postato questo output
Ah, pardon, avevo capito male ioOriginariamente inviato da shishii
Invece è vero, ma solo per alcuni rootkit, in particolare per alcuni di quelli che che agiscono a livello kernel, come ad esempio adore. Non si può istallare due volte adore sullo stesso sistema.Avevo capito che, una volta installato un rootkit, nessun altro rootkit potesse essere installato sul sistema
Beh per aggiornare il database puoi fare un rkhunter --updateOriginariamente inviato da Sergio Pedone
potrebbe non essere aggiornato il database di rootkit-hunter e quindi segnalarmi queste anomalie?
Il problema persiste sulla mia slack-current, mentre sulla slack 10.0 aggiornata è 'pulita'.
Questo è il mio contributo, non manchero' di fare sapere di ulteriori sviluppi.
ciao
comunque ancora non ho reinstallato proprio perchè sto facendo alcune prove....finchè al prossimo avvio mi dirà kernel panic o simile
"L'unica differenza tra me e un pazzo è che io non sono pazzo!"(Salvador)
Permessi di invio
Rispondi quotando