![]()
From: Burhan Hanoglu (burhan@ideefixe.com)
Date: Tue 29 Jul 2003 - 17:29:56 EEST
Selam,
Bu adreste konu hakkında bir yazı var:
http://www.cs.wright.edu/people/faculty/pmateti/Courses/499/Fortification/ob
rien.html
Saygılar
Burhan
----- Original Message -----
From: "Burak DAYIOGLU" <burak.dayioglu@pro-g.com.tr>
To: <linux-guvenlik@liste.linux.org.tr>
Sent: Wednesday, July 30, 2003 8:37 AM
Subject: [linux-guvenlik] Re: istenmeyen ziyaretci, rootkit ve tespti
> On Mon, 2003-07-28 at 22:36, Umut wrote:
> > Merhaba,
> > Loglarima baktigimda 04:40 itibariyle tum kritik loglarin
> > (syslog, messages, cronlog...) sifirlandigini gordum...
> > Killandim ister istemez... Birinin girip girmedigini
> > nasil ogrenebilirim?
>
> Merhaba,
> Eger saldirgan truva atlari yukledi ve boylece kendisini gizlediyse (cok
> basit bir islem haline geldigi icin muhtemelen yapmistir) bir kac farkli
> yontem onerebilirim:
>
> a. http://www.chkrootkit.org adresinden chkrootkit'i indirip calistirin.
> Standart bir rootkit yuklendiyse taniyacak ve size bilgi verecektir. Siz
> de neyin yuklendigini bilerek daha rahat temizlik calismasina
> girisebilirsiniz.
>
> b. Sisteminizdeki ifconfig, netstat, ps, ls programlarini ayni surum
> Linux dagitimi kullanan bir baska bilgisayar ile karsilastirin.
> Karsilastirmayi suphelendiginiz bilgisayar uzerinde yapmayin; sonuclar
> yaniltici olabilir. :)
>
> c. Bilgisayarinizin acik port'larinin bir listesini almak icin "netstat
> -an" komutunu verin; sonucu kaydedin. Bir de disaridan nmap ile port
> taramasi yapin ve sonucunu kaydedin. Bu iki sonucu karsilastirarak
> dinler durumda bir arka-kapi giris noktasi olup olmadigini
> gorebilirsiniz.
>
> Hepsinin yetmeyecegi durumlar da var, cekirdek modulu bicimindeki bir
> truva ati yuklendiyse bu yontemlerle tespit edilmesi mumkun
> olamayacaktir.
>
> Onemli sistemleriniz uzerinde dosya butunluk denetleyicileri (ing. file
> integrity checker) kullanmanizi oneririm. En azindan nelerin degistigini
> bilirsiniz, geri donup duzeltmek cok kolay olacaktir.
>
> selamlar.
> --
> Burak DAYIOGLU
> Danisman, Pro-G Bilisim Guvenligi ve Arastirma Ltd.
> Phone: +90 312 2101494 Fax: +90 312 2101493
> http://www.pro-g.com.tr ICQ UIN: 72276975
>
>
![]()