From: Burak DAYIOGLU (burak.dayioglu@pro-g.com.tr)
Date: Wed 30 Jul 2003 - 08:37:28 EEST
On Mon, 2003-07-28 at 22:36, Umut wrote:
> Merhaba,
> Loglarima baktigimda 04:40 itibariyle tum kritik loglarin
> (syslog, messages, cronlog...) sifirlandigini gordum...
> Killandim ister istemez... Birinin girip girmedigini
> nasil ogrenebilirim?
Merhaba,
Eger saldirgan truva atlari yukledi ve boylece kendisini gizlediyse (cok
basit bir islem haline geldigi icin muhtemelen yapmistir) bir kac farkli
yontem onerebilirim:
a. http://www.chkrootkit.org adresinden chkrootkit'i indirip calistirin.
Standart bir rootkit yuklendiyse taniyacak ve size bilgi verecektir. Siz
de neyin yuklendigini bilerek daha rahat temizlik calismasina
girisebilirsiniz.
b. Sisteminizdeki ifconfig, netstat, ps, ls programlarini ayni surum
Linux dagitimi kullanan bir baska bilgisayar ile karsilastirin.
Karsilastirmayi suphelendiginiz bilgisayar uzerinde yapmayin; sonuclar
yaniltici olabilir. :)
c. Bilgisayarinizin acik port'larinin bir listesini almak icin "netstat
-an" komutunu verin; sonucu kaydedin. Bir de disaridan nmap ile port
taramasi yapin ve sonucunu kaydedin. Bu iki sonucu karsilastirarak
dinler durumda bir arka-kapi giris noktasi olup olmadigini
gorebilirsiniz.
Hepsinin yetmeyecegi durumlar da var, cekirdek modulu bicimindeki bir
truva ati yuklendiyse bu yontemlerle tespit edilmesi mumkun
olamayacaktir.
Onemli sistemleriniz uzerinde dosya butunluk denetleyicileri (ing. file
integrity checker) kullanmanizi oneririm. En azindan nelerin degistigini
bilirsiniz, geri donup duzeltmek cok kolay olacaktir.
selamlar.
-- Burak DAYIOGLU Danisman, Pro-G Bilisim Guvenligi ve Arastirma Ltd. Phone: +90 312 2101494 Fax: +90 312 2101493 http://www.pro-g.com.tr ICQ UIN: 72276975