Rootkit

DeeDee0815

DeeDee0815

Doppel-As
Hi,

ich habe meinen gerade eine Woche alten Server mit Web- und Maildiensten darauf mal mit chkrootkit überprüfen lassen. Dabei kam folgendes nicht-gutes heraus:

Code:
Checking `bindshell'... INFECTED (PORTS:  1524 6667 31337)
Checking `lkm'... You have    92 process hidden for readdir command
chkproc: Warning: Possible LKM Trojan installed

Was soll ich jetzt machen, um die Frage mal dumm zu stellen?

MfG
DeeDee0815
 
Moin,

von Hand chkrootkit gestartet? Oder per cronjob? Ansonsten heisst die Warnung nichts schlimmes.

Gruß
Blur
 
Moin,

von Hand chkrootkit gestartet? Oder per cronjob? Ansonsten heisst die Warnung nichts schlimmes.

Gruß
Blur

Hi blur,

danke für Deine schnelle Antwort: Zum ersten Test habe ich es mal per Hand gestartet, dabei ist mir das eben aufgefallen. Und es heißt nichts schlimmes, wenn das Programm sagt, dass eventuell ein LKM-Trojaner installiert ist? Nun ja, ich denke mal ich muss mich ein wenig über dieses Programm informieren, um mit den Ausgaben viel anfangen zu können.

Eine Frage hätte ich aber noch: Bei allem anderen hat chkrootkit gesagt, nothing deleted, oder ähnlich. Heißt das, das chrootkit auch rootkits etc. löscht, wenn es sie erkennt?

MfG
DeeDee0815
 
So etwas z.B.

1. Ergebnisse 1 - 10 von ungefähr 672 für Checking `bindshell'... INFECTED. (0,10 Sekunden)

2. Gechackt? User löschen trotz Login! - Server Support Forum (4. oder 5. Treffer)


3. Darin ein Link zu => http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=160539

4. Schauen ob es passt oder nicht.

5. Was "false positive" bedeutet, ergooglest Du am besten jetzt selbst.

Hi Rain_Maker,

danke für die Hinweise: Beim nächsten Mal suche ich dann selbst. :D Ich war nur etwas erschrocken und dachte mir lieber mal gleich bei Kennern dieses Programms nachzufragen, da ich nicht riskieren wollte etwas riskantes falsch einzustufen.

In der Tat: der Bug passt. Bei mir wird wohl ein "false positive", also, wie ich nun gelernt habe, ein fälschlicher Weise als böse erkanntes Programm etc., erkannt.

Dann nochmal danke an euch Beide für die schnelle und kompetente Hilfe.

MfG
DeeDee0815
 
Mal was Allgemeines (man möge mir gerne mit guten Argumenten widersprechen).

Mit diesen "Rootkit"-Scannern ist es ähnlich wie mit Virenscannern unter Win.

- Sie erkennen _nicht_ zuverlässig alle Schädlinge, sondern maximal das, was sie schon kennen. Selbst Heuristiken sind nur "gutes Raten", also können diese per definition nicht zuverlässig sein.

- Sie verunsichern den User (das ist IMHO sogar hier schlimmer als bei Virenscannern unter Win) durch false Positives, siehe bisheriger Thread => Q.E.D.

- Selbst wenn sie nichts finden (was anhand der vielen false Positives zwar unwahrscheinlich ist, irgendwie Ironie des Schicksals, oder?) kann man sich danach nicht sicher sein, ob alles OK ist.

Man sollte sich also fragen, ob hier der potentielle Schaden (im Sinne von Verunsicherung oder in falscher Sicherheit wiegen, weil nichts gefunden wurde) im Verhältnis zum potentiellen Nutzen steht.
 
Mal was Allgemeines (man möge mir gerne mit guten Argumenten widersprechen).
Ich versuche das mal :think:

Mit diesen "Rootkit"-Scannern ist es ähnlich wie mit Virenscannern unter Win.

- Sie erkennen _nicht_ zuverlässig alle Schädlinge, sondern maximal das, was sie schon kennen. Selbst Heuristiken sind nur "gutes Raten", also können diese per definition nicht zuverlässig sein.
Das ist doch aber immer so. Ein Programm ist so gut wie sein Programmierer. Nur weil etwas nicht 100% erkannt wird, ist es doch nicht schlecht, oder? Aus dem wahren Leben gegriffen: Stell Dir vor, der Arzt sagt Du hättest Krebs. Was machst Du? Dich informieren und Dir zumindest eine zweite Meinung besorgen. Ist das schlechter als nichts zu tun und nicht zum Arzt zu gehen?

- Sie verunsichern den User (das ist IMHO sogar hier schlimmer als bei Virenscannern unter Win) durch false Positives, siehe bisheriger Thread => Q.E.D.
Gerade dieser Thread zeigt, daß man sich beim Befall weiter informieren muss. False Positive sind in meinen Augen nichts schlechtes, man muss daraus nur Wissen zu lernen:oldman

- Selbst wenn sie nichts finden (was anhand der vielen false Positives zwar unwahrscheinlich ist, irgendwie Ironie des Schicksals, oder?) kann man sich danach nicht sicher sein, ob alles OK ist.
Sicher sollte man sich nie fühlen. Aber dann könnte man auch aufhören SPAM zu scannen, denn 100% wird der ja auch nicht rausgefiltert :-)
Man sollte mit dem was man einsetzt auch umgehen können. Wenn das einige nicht können, liegt das doch nicht am Programm, sondern am Wissen desjenigen der es einsetzt. Waffen an sich sind nicht tödlich, es kommt immer noch der Faktor Mensch hinzu.

Man sollte sich also fragen, ob hier der potentielle Schaden (im Sinne von Verunsicherung oder in falscher Sicherheit wiegen, weil nichts gefunden wurde) im Verhältnis zum potentiellen Nutzen steht.

Ich habe einen Kunden, der bekommt jeden Tag eine E-Mail mit der Scan-Ausgabe von chkrootkit. Bekommt er die nicht, läuft irgendetwas mit den Emails nicht richtig :D

Gruß
Blur
 
Mal etwas Rethorik-Kritik:

Ein vielleicht (darüber kann man diskutieren) gutes Argument kann man durch einen ungeschickten Vergleich ganz schön selbst zu nichte machen.

Stell Dir vor, der Arzt sagt Du hättest Krebs.

*Hust*

Auf das obige Beispiel bezogen frage ich mal so:

Stell Dir vor, es gäbe einen Arzt, der in 90% der Fälle fälschlicherweise eine Krebserkrankung diagnostiziert.

Würdest Du zu solch einem Arzt gehen?

Und das hier:

Sicher sollte man sich nie fühlen. Aber dann könnte man auch aufhören SPAM zu scannen, denn 100% wird der ja auch nicht rausgefiltert :-)

ist ein besonders unglücklicher Vergleich, denn ein Rechner ist nie "ein bisschen" mit einem Rootkit infiziert, entweder ist er das oder er ist es nicht, das wäre fast wie "ein bisschen schwanger" sein.

Wenn man aber "einen Teil" der SPAM-Mails durch eine irgendwie geartete Maßnahme ausgefiltert bekommt, dann hat das schon einen Nutzen, das ist der entscheidende Unterschied.

Wer genug Wissen hat, um die Ausgaben von solchen Rootkit-Suchtools mit hoher Wahrscheinlichkeit richtig zu deuten, der findet mit Sicherheit auch unstrittigere Anhaltspunkte, ob etwas faul ist oder nicht.

Und nun wirds richtig lächerlich (trotz angefügtem Smiley).

Ich habe einen Kunden, der bekommt jeden Tag eine E-Mail mit der Scan-Ausgabe von chkrootkit. Bekommt er die nicht, läuft irgendetwas mit den Emails nicht richtig :D

Was für jede durch cron erzeugten Mail gelten würde, auch die, welche nützlichere Informationen enthalten als die Information "Ich habe etwas/nichts gefunden, aber ob das stimmt, kann ich Dir nicht einmal mit geringer Wahrscheinlichkeit sagen", was nun mal die Ausgabe dieser Tools übersetzt bedeutet (siehe oben). Anders gesagt, wenn der Kunde regelmässig und automatisiert über den Zustand seines Servers informiert werden möchte, dann kann ich nur hoffen, daß das nicht die einzige tägliche Mail ist, die er automatisch bekommen soll.

Greetz,

RM
 
Zuletzt bearbeitet von einem Moderator:
Ich mach jetzt mal auf Spielverderber, aber was hat "Modul Loading Support" auf einem Server zu suchen :-). Und Checksummen über die basis binaries sollte man auch am Anfang gehabt haben ...

SCNR ...
 
Mal etwas Rethorik-Kritik:

Ein vielleicht (darüber kann man diskutieren) gutes Argument kann man durch einen ungeschickten Vergleich ganz schön selbst zu nichte machen.

Das ist sicherlich richtig, aber man muss es auch "richtig" interpretieren.

Auf das obige Beispiel bezogen frage ich mal so:

Stell Dir vor, es gäbe einen Arzt, der in 90% der Fälle fälschlicherweise eine Krebserkrankung diagnostiziert.

Würdest Du zu solch einem Arzt gehen?

Falsche Vorstellung. Du gehst jedes Jahr zur Vorsorge und dieses Jahr sagt er Dir, Du hast Krebs. Ob das zu 90% stimmt oder nicht, musst Du nun mit weiteren Untersuchungen heraus bekommen. Und genau darum geht es. Auf ein Programm abgebildet. Wenn es bei 9 von 10 Aufrufen ein Rootkit meldet ist es sicherlich nutzlos. Da gebe ich Dir Recht. Sollte es aber nach jahrelanger Nutzung etwas melden, sollte man sich doch schon drum kümmern, oder?




ist ein besonders unglücklicher Vergleich, denn ein Rechner ist nie "ein bisschen" mit einem Rootkit infiziert, entweder ist er das oder er ist es nicht, das wäre fast wie "ein bisschen schwanger" sein.

Wenn man aber "einen Teil" der SPAM-Mails durch eine irgendwie geartete Maßnahme ausgefiltert bekommt, dann hat das schon einen Nutzen, das ist der entscheidende Unterschied.
Aber auf die Gesamtheit des SPAMs bezogen habe ich immer noch False-Positive oder Spam der nicht erkannt wird. Und das wird sich wohl auch nie ändern.

Wer genug Wissen hat, um die Ausgaben von solchen Rootkit-Suchtools mit hoher Wahrscheinlichkeit richtig zu deuten, der findet mit Sicherheit auch unstrittigere Anhaltspunkte, ob etwas faul ist oder nicht.
Und würde dann nicht ein Rootkit-Scanner helfen Hinweise auf den Übeltäter zu finden?


Was für jede durch cron erzeugten Mail gelten würde, auch die, welche nützlichere Informationen enthalten als die Information "Ich habe etwas/nichts gefunden, aber ob das stimmt, kann ich Dir nicht einmal mit geringer Wahrscheinlichkeit sagen", was nun mal die Ausgabe dieser Tools übersetzt bedeutet (siehe oben). Anders gesagt, wenn der Kunde regelmässig und automatisiert über den Zustand seines Servers informiert werden möchte, dann kann ich nur hoffen, daß das nicht die einzige tägliche Mail ist, die er automatisch bekommen soll.
Ich habe das Smilie nicht ohne Grund daran gesetzt. Der Rootkitscanner schickt seine E-Mail nicht lokal sondern nach extern und genau darauf zielte mein Smilie ab.

Meine bisherigen Einsätze mit dem Rootkitscanner waren entweder erfolgreich und ich wusste mit was für einem Übeltäter ich es zu tun hatte oder nicht erfolgreich und da war dann wirklich nichts.

Ich bin aber gerne bereit zu lernen. Welches Rootkit wird denn vom Scanner nicht erkannt?

Gruß
Blur
 
Ich bin aber gerne bereit zu lernen. Welches Rootkit wird denn vom Scanner nicht erkannt?

Wie bei jedem anderen Malwarescanner auch; die, die er nicht in seinen Erkennungsmustern hat kann er nicht zuverlässig erkennen sondern nur gut erraten.

Das funktioniert bei Virenscannern/Spywaretools nicht zuverlässig oder besser es funktioniert zuverlässig nicht, wieso sollten da für einen Rootkitscanner andere Regeln gelten?

(Kann ja sein, nur dazu habe ich noch nirgends etwas gefunden, daß die Scanner da prinzipiell anders arbeiten als obige Tools.)

Was ebenfalls hinzukommt, aber das gilt ebenfalls für alle Scannertools.

Alles, was auf dem selben System wie auch die potentielle Malware läuft, kann manipuliert werden, das hängt nur vom Geschick des Einbrechers ab.

Das könnte man unter Umständen umgehen, indem man dafür sorgt, daß der entsprechende Scanner erst direkt zum Zeitpunkt des Scans auf die Kiste kommt und entsprechende Checksummen ebenfalls direkt nach der Installation erstellt und _extern_ gesichert wurden. Das darf man dann aber vor jedem Scan wiederholen und bei jedem Softwareupdate müsste man die entsprechenden Checksummen für die geänderten Programme neu erstellen und extern sichern.

Ziemlich viel Aufwand aber streng genommen absolut notwendig, wenn man solche Manipulationen ausschließen will.

Salopp formuliert:

Die besonders faulen/dämlichen "Cracker" (aka Sciptkiddies) erwischt man damit vielleicht, nur sind diese eigentlich eher durch entsprechende Vorsorge auszuschließen, damit die mit ihren bekannten 0815-Attacken auf meist schon längst bekannte Sicherheitslücken erst gar nicht auf die Kiste kommen.

Ein besonders cleverer Einbrecher ist aber vielleicht in der Lage seinen Einbruch so gut zu tarnen bzw. den Scanner zu manipulieren, daß dieser "Alles Okidoki" meldet.

Das Problem ist nicht (das habe ich weiter oben schon angedeutet), daß diese Tools gar keinen Nutzen haben, sondern, daß sie nur ein winziger Baustein sein können und maximal dann Sinn machen, wenn man schon ungefähr weiß, was man sucht und was nicht.

Um den Arztvergleich zu bemühen, es kann bei der Diagnose helfen, wenn man schon vorher ein Symptom bemerkt hat und nicht um Symptome zu suchen.

Gerade weniger erfahrene Serveradmins scheinen sich aber (so meine Beoachtung beim Querlesen diverser Serverforen) zu sehr auf chrootkit&co zu verlassen und dann werden meist die anderen Maßnahmen vernachlässigt, weil ja alles OK ist und der Scanner einen ja schon warnen wird, wenn etwas faul ist.

Genau darauf zielte dieser Satz hier ab:

mir selbst schrieb:
Man sollte sich also fragen, ob hier der potentielle Schaden (im Sinne von Verunsicherung oder in falscher Sicherheit wiegen, weil nichts gefunden wurde) im Verhältnis zum potentiellen Nutzen steht.

Alleine schon das "sich ernsthaft fragen", ob es einem beim derzeitigen, eigenen Kenntnisstand mehr Nutzen als Schaden bringt ist nämlich (leider) in den meisten Fällen schon mehr Gedanken gemacht, als es bei vielen Serverneulingen der Fall ist (was ich als allgemeine Aussage und nicht auf den TE bezogen verstanden wissen möchte).

Greetz,

RM
 
Wie bei jedem anderen Malwarescanner auch; die, die er nicht in seinen Erkennungsmustern hat kann er nicht zuverlässig erkennen sondern nur gut erraten.

Das funktioniert bei Virenscannern/Spywaretools nicht zuverlässig oder besser es funktioniert zuverlässig nicht, wieso sollten da für einen Rootkitscanner andere Regeln gelten?
Ich sehe darin keinen Widerspruch. Nur weil etwas weniger zuverlässig funktionieren könnte, soll ich es nicht nutzen und deshalb komplett auf irgendeine Sicherheit verzichten? Sieh doch bitte einen RootKit-Scanner nicht als böses Teufelszeug, sondern als Hilfsmittel, welches einem Admin hilft Dinge zu finden die sonst für immer unentdeckt geblieben wären. Ein Airback hilft auch nicht zu 100%, aber bei kleineren Unfällen schon.

Alles, was auf dem selben System wie auch die potentielle Malware läuft, kann manipuliert werden, das hängt nur vom Geschick des Einbrechers ab.
Kein Widerspruch, aber wie so alles im Leben kann man etwas dagegen tun.

Das könnte man unter Umständen umgehen, indem man dafür sorgt, daß der entsprechende Scanner erst direkt zum Zeitpunkt des Scans auf die Kiste kommt und entsprechende Checksummen ebenfalls direkt nach der Installation erstellt und _extern_ gesichert wurden. Das darf man dann aber vor jedem Scan wiederholen und bei jedem Softwareupdate müsste man die entsprechenden Checksummen für die geänderten Programme neu erstellen und extern sichern.

Ziemlich viel Aufwand aber streng genommen absolut notwendig, wenn man solche Manipulationen ausschließen will.
Ja viel Aufwand, vor allem, wenn man bedenkt, daß sich ein typischer Hacker um so etwas eher wenig kümmert. Aber es reicht schon, wenn man alles von CD startet :brav:

Die besonders faulen/dämlichen "Cracker" (aka Sciptkiddies) erwischt man damit vielleicht, nur sind diese eigentlich eher durch entsprechende Vorsorge auszuschließen, damit die mit ihren bekannten 0815-Attacken auf meist schon längst bekannte Sicherheitslücken erst gar nicht auf die Kiste kommen.
Welche Vorsorge meint der Herr? Nicht immer ist die Lage so, daß man als Admin über alles die Hoheitsrechte hat. Und schon hat man das Problem...
Es gibt Webanwendungen, die laufen einfach nach Sicherheitspatches nicht mehr.

Ein besonders cleverer Einbrecher ist aber vielleicht in der Lage seinen Einbruch so gut zu tarnen bzw. den Scanner zu manipulieren, daß dieser "Alles Okidoki" meldet.
Ein cleverer Einbrecher ist dazu sicherlich in der Lage, aber das ist in meiner Laufbahn erst einmal vorgekommen. Meist lassen sich die Einbrecher relativ einfach finden und auch deren Tun läßt darauf schliessen, daß schon lange keine neueren Rootkits mehr im Umlauf sind.

Das Problem ist nicht (das habe ich weiter oben schon angedeutet), daß diese Tools gar keinen Nutzen haben, sondern, daß sie nur ein winziger Baustein sein können und maximal dann Sinn machen, wenn man schon ungefähr weiß, was man sucht und was nicht.
Ich lasse mich gerne verbessern, aber die Hacker die ich die letzten Jahre gefunden habe, nutzen Software, welche alle ähnlich aufgebaut ist und vom Alter her, vor der letzten Jahrtausend-Wende programmiert wurde :D

Um den Arztvergleich zu bemühen, es kann bei der Diagnose helfen, wenn man schon vorher ein Symptom bemerkt hat und nicht um Symptome zu suchen.
Also wird erst reagiert, wenn der Hacker sich ein paar Wochen eingenistet hat und dann leider etwas kaputt macht. Und das fällt dann auf :D
Deshalb gibt es auch keine Vorsorge-Untersuchungen für Frauen und für Männer ab 35 Jahren?

Sei mir nicht böse, aber eine tägliche Diagnose schadet nicht und hilft vielleicht Problemen frühzeitig auf die Spur zu kommen.

Gerade weniger erfahrene Serveradmins scheinen sich aber (so meine Beoachtung beim Querlesen diverser Serverforen) zu sehr auf chrootkit&co zu verlassen und dann werden meist die anderen Maßnahmen vernachlässigt, weil ja alles OK ist und der Scanner einen ja schon warnen wird, wenn etwas faul ist.
Das soll natürlich nicht so sein, aber genau deswegen diskutieren wir ja hier. Eine 100% Sicherheit gibt es nicht, daß sollte jedem klar sein. Und der gesunde Menschverstand gehört immer dazu, wenn einem etwas komisch vor kommt.

Gruß
Blur
 
Ich sehe darin keinen Widerspruch. Nur weil etwas weniger zuverlässig funktionieren könnte, soll ich es nicht nutzen und deshalb komplett auf irgendeine Sicherheit verzichten? Sieh doch bitte einen RootKit-Scanner nicht als böses Teufelszeug, sondern als Hilfsmittel, welches einem Admin hilft Dinge zu finden die sonst für immer unentdeckt geblieben wären. Ein Airback hilft auch nicht zu 100%, aber bei kleineren Unfällen schon.

Den Rest meines Posts gelesen, bevor das geschrieben wurde?

Wohl kaum.

Aber es reicht schon, wenn man alles von CD startet

Hast Du auf jeden Server physikalischen Zugriff? Turnschuhadmin?

Welche Vorsorge meint der Herr? Nicht immer ist die Lage so, daß man als Admin über alles die Hoheitsrechte hat.Und schon hat man das Problem...

Ah ja, also statt vorzubeugen und Software auf dem möglichst aktuellen Sicherheitstand des Distributors zu halten, lässt man Updates aus, aber zumindest will man wenigstens im Nachhinein wissen, wann man durch dieses Gestümper ins Knie gef***** wurde, weil jemand die Kiste aufgemacht hat?

Seltsame Logik.

Es gibt Webanwendungen, die laufen einfach nach Sicherheitspatches nicht mehr.

Das liegt aber sicher nicht an Sicherheitsupdates des Distributors sondern an Stümperei des Herstellers dieser Anwendungen bzw. daß es sich um nicht unterstütze Drittanbietersoftware handelt.

Ein cleverer Einbrecher ist dazu sicherlich in der Lage, aber das ist in meiner Laufbahn erst einmal vorgekommen.

Da muß ich jetzt schmunzeln, denn auch wenn das stimmen mag muß ich darauf einfach antworten.

"Bist Du Dir da sicher?"

(Du kannst es nicht sein, denn wer weiß, vielleicht wurde einer/mehrere gar nicht bemerkt, eben weil er/sie so clever war und sich auch wieder unbemerkt aus dem Staub gemacht hat).

Ich lasse mich gerne verbessern, aber die Hacker die ich die letzten Jahre gefunden habe, nutzen Software, welche alle ähnlich aufgebaut ist und vom Alter her, vor der letzten Jahrtausend-Wende programmiert wurde :D

siehe einen Abschnitt weiter oben *fg*

Also wird erst reagiert, wenn der Hacker sich ein paar Wochen eingenistet hat und dann leider etwas kaputt macht. Und das fällt dann auf :D

Du widersprichst Dir indirekt gerade selbst bzw. bestätigst meine Aussage mit der seltsamen Logik.

Wenn ich absichtlich Löcher offen lasse, weil ich Updates nicht einspiele/einspielen darf, dann mache ich genau das, was Du oben beschreibst, ich reagiere zu spät (oder noch schlimmer, ich reagiere gar nicht).

Ein Scanner kann Dich ausserdem gar nicht schützen, er kann nur bemerken, ob Du schon "0wned" bist und dann ist es eh zu spät.

Die eigentliche Schutzwirkung ist also gleich null, da gibt es wohl keinerlei Zweifel.
 
Ich fasse mal zusammen, korrigier mich bitte Rain_Maker, falls das nicht stimmen sollte, nach Deiner Auffassung sind rootkit-scanner unsinnig, da
  • sie wie Viren-Scanner nur nach Signaturen scannen
  • die Server immer mit aktuellen Patches versorgt sind (sein sollen)
  • man nur mit viel Aufwand alles absichern kann (Scanner wir kompromitiert)
  • zuviele False-Positive entstehen
  • die Admins sich in Sicherheit wiegen
Ernsthafte Frage, musstest Du schonmal ein rootkit entdecken und entfernen?
Oder redest Du nur theoretisch darüber? Also ohne praktische Erfahrung?

Um gleich einem Missverständniss vorzubeugen, wenn ich einen Bösewicht entdecken und entfernen musste, war ich vorher kein Admin auf der Kiste. Und das ich dann physikalischen Zugang hatte, hat die Lösung des Problems erst ermöglicht. Remote sehe ich da wenig Chancen für eine Entfernung des Übeltäters.

Schönen Abend noch

Blur
 
Ich fasse mal zusammen, korrigier mich bitte Rain_Maker, falls das nicht stimmen sollte, nach Deiner Auffassung sind rootkit-scanner unsinnig,

Nö, ich schrieb nur (und zwar mehrfach) daß die Dinger unzuverlässig sind und man genau abwägen sollte, ob sie einem nutzen.

Remote sehe ich da wenig Chancen für eine Entfernung des Übeltäters.

Eine Datensicherung und Neuinstallation (die nach solch einem Angriff, bei denen der Angreifer root-Privilegien erlangt hat, doch anerkanntermassen durchgeführt werden muss) war remote nicht möglich?

Wie wurde die Kiste dann zuvor administriert?
 
Zuletzt bearbeitet von einem Moderator:
Eine Datensicherung und Neuinstallation (die nach solch einem Angriff doch anerkanntermassen durchgeführt werden muss) war nicht möglich?

Waren nicht immer nötig. Die meisten Rootkits waren stümperhaft installiert und wenn man wusste um was es sich handelt (Rootkit-Scanner), auch einfach zu entfernen. Man musste vorher nur das Einfallstor finden und fixen.
 

Ähnliche Themen

NagiosGrapher 1.7.1 funktioniert nicht

Rootkited

Warning: Possible LKM Trojan installed

RootKit

Open-Xchange auf OpenSuse mit Commu. Installer - Compiler Fehler

Zurück
Oben