21. November 2012 17:19

Re: Quatsch

GoC schrieb am 20. November 2012 22:24

> nias schrieb am 20. November 2012 19:32
> > Wie soll ein Admin auf so eine "Warnung" jetzt reagieren? Ohne die
> > Infektionsquelle ist diese Info einfach nur wertlos.

> Man kann /etc/rc.local kontrollieren, aber das war's wohl. Und wer
> Werkzeuge zur Systemüberwachung einsetzt, der hat sich wohl vorher
> schon darüber gewundert, daß jemand diese Datei angefaßt hat, oder
> über die neuen Einträge in /lib/modules/...

naja rootkits, sofern sie erstmal laufen, verschleiern aber den
Zugriff auf alle manipulierten Dateien/Verzeichnisse. Du würdest also
den alten Inhalt von rc.local sehen....
Das einzig wichtige ist, wie geschieht die Infektion. Ist es erstmal
drauf, hat man als Admin eh verloren...

Anzeige