[sage] Rootkit Erkennung

Juergen Kahnert Juergen.Kahnert at DESY.de
Wed Jan 2 20:33:39 CET 2013 

Moin,

On Wed, Jan 02, 2013 at 07:36:41PM +0100, Manuel Schneider wrote:
> Es kompiliert, wenn man die Dependency "libcap" erfüllt.

wenn Du "scons" statt "make" benutzt, kompiliert es auch ohne libcap,
aber jede nicht gefundene Lib verringert auch die Tests und es könnten
Dir Rootkits durch die Lappen gehen (ich kenne aber im Moment keins, bei
dem das passieren würde).


> Was ich störend fand ist die Tatsache, dass das Tarball sich in den
> aktuellen Ordner entpackt und dazu keinen Unterordner revealrk-1.0/
> anlegt.

Korrekt, mein Fehler, stört mich auch immer. Werde das beim nächsten
Tarball ändern.


> Ich habe ein Ebuild gebaut, damit das Tool nach Portage übernommen
> werden könnte - s. Tarball anbei.
> Ein Problem meckert Portage derzeit an: Fehlende Debug-Symbole.
> Normalerweise führt Portage nach dem Kompilieren automatisch ein strip
> auf allen Executables aus. Bei Problemen kann man das abschalten um die
> Programme debuggen zu können. Dazu müssen die Symbole aber im Code sein.

Gentoo habe ich nicht, werde das strip dann optional machen, per Default
aber an. Das müßte reichen, oder?


> Zuletzt natürlich die ketzerische Frage:
> Was macht revealrk besser / anders als chkrootkit und rkhunter?

Das merkst Du schnell, wenn Du alle drei täglich per Cron auf mehreren
Systemen laufen läßt. Bei einem "revealrk -s -z" aus dem Cron dürftest
Du nur dann was sehen, wenn ein versteckter Prozess entdeckt wurde; von
chkrootkit und rkhunter wirst Du mit [Falsch-]Meldungen hingegen über-
schüttet...

Auch erkennt revealrk unbekannte Rootkits ohne Anpassung, lediglich der
Name des Rootkits wird dann nicht mit ausgegeben. So hätte revealrk
selbst in der Version 0.1 Snakso.a sofort erkannt (wenn auch als
"unknown rootkit").

Außerdem ist es deutlich schneller. ;-)

Allerdings erkennt es zur Zeit nur versteckte Prozesse, also geladene
Module, die eine Backdoor über's Netz aufmachen können, ohne dabei einen
Prozess zu verstecken werden leider nicht erkannt. Nicht das chkrootkit
oder rkhunter aktuelle Rootkits mit Portknocking oder "magic packets"
erkennen würden...

Aber zeig mir ein Rootkit, das von revealrk nicht erkannt wird, und ich
gebe mein Möglichstes das zu ändern. :)

Mit freundlichem Gruß

    Jürgen Kahnert


-------------- next part --------------
A non-text attachment was scrubbed...
Name: smime.p7s
Type: application/x-pkcs7-signature
Size: 5277 bytes
Desc: not available
Url : http://lists.guug.de/pipermail/sage/attachments/20130102/3948a5cb/attachment-0001.bin

More information about the SAGE mailing list