[HaBo]

05.06.06, 19:24

hi, ich hoffe mal ich bin hier richtig...

...also ich wollte mal fragen wer sich damit auskennt...und zwar will ich mich versichern das mein netstat output nicht einem hack unterlaufen ist....wie kann ich dies tun? Ich meine durch ein rootkit wird die ausgabe wohl nicht gefaked werden, oder?
Also was ich suche sind (möglichst alle) kleine Hinweise wie ich herausfinden kann ob mein netstat output wirklich manipuliert wurde....
...thx schon mal an die die weiterwissen ;)

ERit · 05.06.06, 19:52

linux oder windows?
unter windows gibts genug tools die du dir runterladen kannst, selbiges unter linux, was gibts da zu fragen?

5 sekunden google:

http://techrepublic.com.com/5138-1035_11-729262.html

Anzeige

- Anzeige -

**Elderan** · 05.06.06, 20:14

Hallo,
ein "clean" System aufsetzen, dann von dem Prog. die MD5 Hashsumme berechnen und ausdrucken lassen.

Dann immer wenn du das Programm benutzt, wird zuerst die MD5 Hashsumme berechnet, und du vergleichst diese mit der auf dem Zettel.

Sonst gibts auch jede menge Programme die dies voll automatisch machen, wie gesagt, einfach mal google bemühen.

brain21 · 05.06.06, 20:22

Einen anderen Rechner zwischen dir und nächsten Host schliessen, auf dem kannst du dir die Verbindungen ansehen, egal ob jetzt eine durch Rootkit entstanden ist oder anders.

05.06.06, 20:35

sorry..
.naja SK...du bist ja sicher sooo toll und kannst leicht ergooglen was ich mein

...also googeln kann ich min. genauso wie du...aber ich wollte ( da Supportboard)erfahrungsberichte von profis...die was davon verstehen...und nicht nur was posten...hauptsache damit was gepostet ist...

whow...sorry ich meinte natürlich nur Erit.....euch dank ich für "wissende" Hilfe...

ERit · 06.06.06, 03:23

mhm, dann formulier deine frage das nächste mal besser ... kk

edit: nur im guten, ohne kritik: wenn du schnell mal einen 2ten rechner hast, oder ein 2tes system so bei der hand dann is dass natürlich möglich. ich denke aber immer noch auf ein system beschränkt, und da müsste man genauer fragen. wollte ja nicht provozierend rüberkommen, also lassen wir das.

edit2: sorry, das geht mir jetzt nicht mehr aus dem kopf: wenn du weißt was md5 ist, dann weißt du auch was man damit machen kann? und wenn du das so gut "googlen" kannst wie ich warum ladest du dir dann nicht ein tool runter um es so auf die einfachste art und weise zu überprüfen?

möchte ja keinen kritisieren hier, also fühl dich bitte nicht so angegriffen.

06.06.06, 05:36

Jo Erit, schon ok! Hatte gestern eh mal voll miese Laune...
...ja das mit den Hashes abgleichen hört sich gut an, das werd ich versuchen...

06.06.06, 12:04

Zitat:

Ich meine durch ein rootkit wird die ausgabe wohl nicht gefaked werden, oder?

Doch- richtig- und mehr oder weniger indirekt, je nach Funktionsweise.

Besonders unangenehm ist da zb "Suckit"- ein linux Rootkit welches "on the fly"
an den Linux Kernel gepatcht wird- OHNE ein LKM zu sein.

Fuer eine genaue Funktionsweise:
http://www.phrack.org/phrack/58/p58-0x07

Und noch sehr interessant:
http://www.phrack.org/show.php?p=59&a=10

Btw, die Angabe deines Betriebssystems hätte Sinn gemacht.

06.06.06, 17:52

Danke für die Links...
ja Betriebssystem ist Linux (Gentoo) ...

Anzeige

- Anzeige -

05.06.06, 19:24	#1 (permalink)
ThiEfGaRReT Guest Likes:	the little netstat hack Anzeige hi, ich hoffe mal ich bin hier richtig... ...also ich wollte mal fragen wer sich damit auskennt...und zwar will ich mich versichern das mein netstat output nicht einem hack unterlaufen ist....wie kann ich dies tun? Ich meine durch ein rootkit wird die ausgabe wohl nicht gefaked werden, oder? Also was ich suche sind (möglichst alle) kleine Hinweise wie ich herausfinden kann ob mein netstat output wirklich manipuliert wurde.... ...thx schon mal an die die weiterwissen ;)

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Auslesen von Netstat	4future	Code Kitchen	2	03.08.04 07:28
netstat	uNsEcUrE	Die Problemzone	9	02.12.03 19:38
netstat	master	(In)security allgemein	1	25.07.03 22:25
netstat icq	shawn	Network · LAN, WAN, Firewalls	10	29.06.03 12:07
Netstat	nod1lol	(In)security allgemein	23	04.01.02 19:02

05.06.06, 19:52	#2 (permalink)
ERit Registriert seit: 31.03.05 Likes: 0	linux oder windows? unter windows gibts genug tools die du dir runterladen kannst, selbiges unter linux, was gibts da zu fragen? 5 sekunden google: http://techrepublic.com.com/5138-1035_11-729262.html

05.06.06, 20:14	#3 (permalink)
Elderan Moderator Registriert seit: 30.03.04 Likes: 14	Hallo, ein "clean" System aufsetzen, dann von dem Prog. die MD5 Hashsumme berechnen und ausdrucken lassen. Dann immer wenn du das Programm benutzt, wird zuerst die MD5 Hashsumme berechnet, und du vergleichst diese mit der auf dem Zettel. Sonst gibts auch jede menge Programme die dies voll automatisch machen, wie gesagt, einfach mal google bemühen.

05.06.06, 20:22	#4 (permalink)
brain21 Registriert seit: 20.06.05 Likes: 0	Einen anderen Rechner zwischen dir und nächsten Host schliessen, auf dem kannst du dir die Verbindungen ansehen, egal ob jetzt eine durch Rootkit entstanden ist oder anders.

05.06.06, 20:35	#5 (permalink)
ThiEfGaRReT Guest Likes:	sorry.. .naja SK...du bist ja sicher sooo toll und kannst leicht ergooglen was ich mein ...also googeln kann ich min. genauso wie du...aber ich wollte ( da Supportboard)erfahrungsberichte von profis...die was davon verstehen...und nicht nur was posten...hauptsache damit was gepostet ist... whow...sorry ich meinte natürlich nur Erit.....euch dank ich für "wissende" Hilfe...

06.06.06, 03:23	#6 (permalink)
ERit Registriert seit: 31.03.05 Likes: 0	mhm, dann formulier deine frage das nächste mal besser ... kk edit: nur im guten, ohne kritik: wenn du schnell mal einen 2ten rechner hast, oder ein 2tes system so bei der hand dann is dass natürlich möglich. ich denke aber immer noch auf ein system beschränkt, und da müsste man genauer fragen. wollte ja nicht provozierend rüberkommen, also lassen wir das. edit2: sorry, das geht mir jetzt nicht mehr aus dem kopf: wenn du weißt was md5 ist, dann weißt du auch was man damit machen kann? und wenn du das so gut "googlen" kannst wie ich warum ladest du dir dann nicht ein tool runter um es so auf die einfachste art und weise zu überprüfen? möchte ja keinen kritisieren hier, also fühl dich bitte nicht so angegriffen.

06.06.06, 05:36	#7 (permalink)
ThiEfGaRReT Guest Likes:	Jo Erit, schon ok! Hatte gestern eh mal voll miese Laune... ...ja das mit den Hashes abgleichen hört sich gut an, das werd ich versuchen...

06.06.06, 17:52	#9 (permalink)
ThiEfGaRReT Guest Likes:	Danke für die Links... ja Betriebssystem ist Linux (Gentoo) ...

[HaBo]

the little netstat hack