From: mahmutbb (mahmut@mahmutbb.com)
Date: Tue 29 Jul 2003 - 17:39:06 EEST
----- Original Message -----
From: "Burhan Hanoglu" <burhan@ideefixe.com>
To: <linux-guvenlik@liste.linux.org.tr>
Sent: Tuesday, July 29, 2003 5:29 PM
Subject: [linux-guvenlik] Re: istenmeyen ziyaretci, rootkit ve tespti
> Selam,
> Bu adreste konu hakkında bir yazı var:
>
http://www.cs.wright.edu/people/faculty/pmateti/Courses/499/Fortification/ob
> rien.html
>
> Saygılar
> Burhan
>
> ----- Original Message -----
> From: "Burak DAYIOGLU" <burak.dayioglu@pro-g.com.tr>
> To: <linux-guvenlik@liste.linux.org.tr>
> Sent: Wednesday, July 30, 2003 8:37 AM
> Subject: [linux-guvenlik] Re: istenmeyen ziyaretci, rootkit ve tespti
>
>
> > On Mon, 2003-07-28 at 22:36, Umut wrote:
> > > Merhaba,
> > > Loglarima baktigimda 04:40 itibariyle tum kritik loglarin
> > > (syslog, messages, cronlog...) sifirlandigini gordum...
> > > Killandim ister istemez... Birinin girip girmedigini
> > > nasil ogrenebilirim?
> >
> > Merhaba,
> > Eger saldirgan truva atlari yukledi ve boylece kendisini gizlediyse (cok
> > basit bir islem haline geldigi icin muhtemelen yapmistir) bir kac farkli
> > yontem onerebilirim:
> >
> > a. http://www.chkrootkit.org adresinden chkrootkit'i indirip calistirin.
> > Standart bir rootkit yuklendiyse taniyacak ve size bilgi verecektir. Siz
> > de neyin yuklendigini bilerek daha rahat temizlik calismasina
> > girisebilirsiniz.
> >
> > b. Sisteminizdeki ifconfig, netstat, ps, ls programlarini ayni surum
> > Linux dagitimi kullanan bir baska bilgisayar ile karsilastirin.
> > Karsilastirmayi suphelendiginiz bilgisayar uzerinde yapmayin; sonuclar
> > yaniltici olabilir. :)
> >
> > c. Bilgisayarinizin acik port'larinin bir listesini almak icin "netstat
> > -an" komutunu verin; sonucu kaydedin. Bir de disaridan nmap ile port
> > taramasi yapin ve sonucunu kaydedin. Bu iki sonucu karsilastirarak
> > dinler durumda bir arka-kapi giris noktasi olup olmadigini
> > gorebilirsiniz.
> >
> > Hepsinin yetmeyecegi durumlar da var, cekirdek modulu bicimindeki bir
> > truva ati yuklendiyse bu yontemlerle tespit edilmesi mumkun
> > olamayacaktir.
> >
> > Onemli sistemleriniz uzerinde dosya butunluk denetleyicileri (ing. file
> > integrity checker) kullanmanizi oneririm. En azindan nelerin degistigini
> > bilirsiniz, geri donup duzeltmek cok kolay olacaktir.
> >
> > selamlar.
> > --
> > Burak DAYIOGLU
> > Danisman, Pro-G Bilisim Guvenligi ve Arastirma Ltd.
> > Phone: +90 312 2101494 Fax: +90 312 2101493
> > http://www.pro-g.com.tr ICQ UIN: 72276975
> >
> >
>