illtiss schrieb:
dachte unter Linux fängst Dir sowas nich ein. wenn er ihn als Benutzer eingefangen hat reicht ein löschen des Benutzer Accounts und desses Datein.
So einfach isses leider nicht ganz.
Rootkits beschaffen sich meistens Zugriff auf einen "normalen" Account und versuchen dann auf dem Rechner oder im Netzwerk weiteres Unheil anzurichten.
Ne Panne wär es z.B. wenn es die gleiche Benutzernamen-Passwort-Kombi auf nem anderen Rechner im Netz nochmal gibt.
Ansonsten versucht das rootkit root-Zugriff auf den befallenen Rechnern zu erreichen. Da keine Software und kein Betriebssystem fehlerfrei ist findet sich oftmals ein buffer overflow, der sich ausnutzen lässt. Außerdem kann der Angreifer auch bewusst fehlerhafte Dateien einschleusen.
Es ist also leider nicht damit getan, den Benutzeraccount zu löschen, und wenn du das gleiche System einfach neu installierst bist du das Ding zwar los, weißt aber noch nicht wo es hergekommen ist und der gleiche Kram kann jederzeit von vorne losgehen.
Wenn du das ernsthaft betreiben willst kommst du nicht drumrum nachzuschauen welches rootkit chkrootkit gemeldet hat. Dann gibts google um herauszufinden was dieses Rootkit macht. Dann kannste schaun ob es überhaupt genau dieses Rootkit war und du nicht einem Fehlalarm aufgesessen bist.
Wenn du soweit bist hast du meistens eh schon erkannt welche Schwachstelle dein System hatte, so dass der Angriff überhaupt möglich war.
Und dann gibts nur eins: Installations-CD und erstmal formatieren. Das Reparieren von Hand ist für den kleinen Rechner zuhause etwas mühsam, und wer weiss was sich da noch alles eingenistet hat.
Fazit: Linux ist auch nicht perfekt
