the little netstat hack

  • Themenstarter Themenstarter ThiEfGaRReT
  • Beginndatum Beginndatum
T

ThiEfGaRReT

Guest
hi, ich hoffe mal ich bin hier richtig...

...also ich wollte mal fragen wer sich damit auskennt...und zwar will ich mich versichern das mein netstat output nicht einem hack unterlaufen ist....wie kann ich dies tun? Ich meine durch ein rootkit wird die ausgabe wohl nicht gefaked werden, oder?
Also was ich suche sind (möglichst alle) kleine Hinweise wie ich herausfinden kann ob mein netstat output wirklich manipuliert wurde....
...thx schon mal an die die weiterwissen ;)
 
Hallo,
ein "clean" System aufsetzen, dann von dem Prog. die MD5 Hashsumme berechnen und ausdrucken lassen.

Dann immer wenn du das Programm benutzt, wird zuerst die MD5 Hashsumme berechnet, und du vergleichst diese mit der auf dem Zettel.



Sonst gibts auch jede menge Programme die dies voll automatisch machen, wie gesagt, einfach mal google bemühen.
 
Einen anderen Rechner zwischen dir und nächsten Host schliessen, auf dem kannst du dir die Verbindungen ansehen, egal ob jetzt eine durch Rootkit entstanden ist oder anders.
 
sorry..
.naja SK...du bist ja sicher sooo toll und kannst leicht ergooglen was ich mein :D
...also googeln kann ich min. genauso wie du...aber ich wollte ( da Supportboard)erfahrungsberichte von profis...die was davon verstehen...und nicht nur was posten...hauptsache damit was gepostet ist...

whow...sorry ich meinte natürlich nur Erit.....euch dank ich für "wissende" Hilfe...
 
mhm, dann formulier deine frage das nächste mal besser ... kk

edit: nur im guten, ohne kritik: wenn du schnell mal einen 2ten rechner hast, oder ein 2tes system so bei der hand dann is dass natürlich möglich. ich denke aber immer noch auf ein system beschränkt, und da müsste man genauer fragen. wollte ja nicht provozierend rüberkommen, also lassen wir das.

edit2: sorry, das geht mir jetzt nicht mehr aus dem kopf: wenn du weißt was md5 ist, dann weißt du auch was man damit machen kann? und wenn du das so gut "googlen" kannst wie ich warum ladest du dir dann nicht ein tool runter um es so auf die einfachste art und weise zu überprüfen?

möchte ja keinen kritisieren hier, also fühl dich bitte nicht so angegriffen.
 
Jo Erit, schon ok! Hatte gestern eh mal voll miese Laune...
...ja das mit den Hashes abgleichen hört sich gut an, das werd ich versuchen...
 
Ich meine durch ein rootkit wird die ausgabe wohl nicht gefaked werden, oder?
Zum Vergrößern anklicken....
Doch- richtig- und mehr oder weniger indirekt, je nach Funktionsweise.


Besonders unangenehm ist da zb "Suckit"- ein linux Rootkit welches "on the fly"
an den Linux Kernel gepatcht wird- OHNE ein LKM zu sein.

Fuer eine genaue Funktionsweise:
http://www.phrack.org/phrack/58/p58-0x07

Und noch sehr interessant:
http://www.phrack.org/show.php?p=59&a=10

Btw, die Angabe deines Betriebssystems hätte Sinn gemacht.
 
Danke für die Links...
ja Betriebssystem ist Linux (Gentoo) ...
 
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben