Ich bin aber gerne bereit zu lernen. Welches Rootkit wird denn vom Scanner nicht erkannt?
Wie bei jedem anderen Malwarescanner auch; die, die er nicht in seinen Erkennungsmustern hat kann er nicht zuverlässig erkennen sondern nur gut erraten.
Das funktioniert bei Virenscannern/Spywaretools nicht zuverlässig oder besser es funktioniert zuverlässig nicht, wieso sollten da für einen Rootkitscanner andere Regeln gelten?
(Kann ja sein, nur dazu habe ich noch nirgends etwas gefunden, daß die Scanner da prinzipiell anders arbeiten als obige Tools.)
Was ebenfalls hinzukommt, aber das gilt ebenfalls für alle Scannertools.
Alles, was auf dem selben System wie auch die potentielle Malware läuft, kann manipuliert werden, das hängt nur vom Geschick des Einbrechers ab.
Das könnte man unter Umständen umgehen, indem man dafür sorgt, daß der entsprechende Scanner erst direkt zum Zeitpunkt des Scans auf die Kiste kommt und entsprechende Checksummen ebenfalls direkt nach der Installation erstellt und _extern_ gesichert wurden. Das darf man dann aber vor
jedem Scan wiederholen und bei jedem Softwareupdate müsste man die entsprechenden Checksummen für die geänderten Programme neu erstellen und extern sichern.
Ziemlich viel Aufwand aber streng genommen absolut notwendig, wenn man solche Manipulationen ausschließen will.
Salopp formuliert:
Die besonders faulen/dämlichen "Cracker" (aka Sciptkiddies) erwischt man damit vielleicht, nur sind diese eigentlich eher durch entsprechende Vorsorge auszuschließen, damit die mit ihren bekannten 0815-Attacken auf meist schon längst bekannte Sicherheitslücken erst gar nicht auf die Kiste kommen.
Ein besonders cleverer Einbrecher ist aber vielleicht in der Lage seinen Einbruch so gut zu tarnen bzw. den Scanner zu manipulieren, daß dieser "Alles Okidoki" meldet.
Das Problem ist nicht (das habe ich weiter oben schon angedeutet), daß diese Tools gar keinen Nutzen haben, sondern, daß sie nur ein winziger Baustein sein können und maximal dann Sinn machen, wenn man schon ungefähr weiß, was man sucht und was nicht.
Um den Arztvergleich zu bemühen, es kann bei der Diagnose helfen, wenn man schon vorher ein Symptom bemerkt hat und nicht um Symptome zu suchen.
Gerade weniger erfahrene Serveradmins scheinen sich aber (so meine Beoachtung beim Querlesen diverser Serverforen) zu sehr auf chrootkit&co zu verlassen und dann werden meist die anderen Maßnahmen vernachlässigt, weil ja alles OK ist und der Scanner einen ja schon warnen wird, wenn etwas faul ist.
Genau darauf zielte dieser Satz hier ab:
mir selbst schrieb:
Man sollte sich also fragen, ob hier der potentielle Schaden (im Sinne von Verunsicherung oder in falscher Sicherheit wiegen, weil nichts gefunden wurde) im Verhältnis zum potentiellen Nutzen steht.
Alleine schon das "sich ernsthaft fragen", ob es einem beim derzeitigen, eigenen Kenntnisstand mehr Nutzen als Schaden bringt ist nämlich (leider) in den meisten Fällen schon mehr Gedanken gemacht, als es bei vielen Serverneulingen der Fall ist (was ich als allgemeine Aussage und nicht auf den TE bezogen verstanden wissen möchte).
Greetz,
RM