[sage] Rootkit Erkennung

[Manuel Schneider]

Hallo Jürgen,

auch Dir ein frohes neues Jahr!
Vielen Dank, dass Du Dein Rootkit-Erkennungstool mit uns teilst. Ich
habe das System auf mehreren GNU/Linux-Systeme (Gentoo) ausprobiert.

Es kompiliert, wenn man die Dependency "libcap" erfüllt.

Was ich störend fand ist die Tatsache, dass das Tarball sich in den
aktuellen Ordner entpackt und dazu keinen Unterordner revealrk-1.0/ anlegt.

Die Laufzeit liegt zwischen 1 und 5 Sekunden (je Maschine und Tests):

Server (leer):
	# revealrk -f -r -v
	Scan started at: 2013-01-02 21:20:47
	Scan ended at:   2013-01-02 21:20:52

	OK - no hidden processes found.

	# revealrk -v
	Scan started at: 2013-01-02 21:20:54
	Scan ended at:   2013-01-02 21:20:56

	OK - no hidden processes found.

Desktop-System:
	# revealrk -v
	Scan started at: 2013-01-02 19:33:01
	Scan ended at:   2013-01-02 19:33:02

	OK - no hidden processes found.

	# revealrk -f -r -v
	Scan started at: 2013-01-02 19:33:32
	Scan ended at:   2013-01-02 19:33:35

	OK - no hidden processes found.

Ich habe ein Ebuild gebaut, damit das Tool nach Portage übernommen
werden könnte - s. Tarball anbei.
Ein Problem meckert Portage derzeit an: Fehlende Debug-Symbole.
Normalerweise führt Portage nach dem Kompilieren automatisch ein strip
auf allen Executables aus. Bei Problemen kann man das abschalten um die
Programme debuggen zu können. Dazu müssen die Symbole aber im Code sein.

Zuletzt natürlich die ketzerische Frage:
Was macht revealrk besser / anders als chkrootkit und rkhunter?

Grüsse,


Manuel
-- 
Wikimedia CH - Verein zur Förderung Freien Wissens
Lausanne, +41 (21) 34066-22 - www.wikimedia.ch
-------------- nächster Teil --------------
Ein Dateianhang mit Bin?rdaten wurde abgetrennt...
Dateiname   : revealrk-ebuild.tar.bz2
Dateityp    : application/x-bzip
Dateigr??e  : 2110 bytes
Beschreibung: nicht verf?gbar
URL         : http://lists.guug.de/pipermail/sage/attachments/20130102/8a55a030/attachment.bin