28 Mar
2010
28 Mar
'10
11:37 a.m.
Hi Daniel,
On Sat, Mar 27, 2010 at 20:40:17 +0100, Daniel Leidert wrote:
Wurde der Dienst kompromittiert, kann er auch benutzt werden - Backdoor ist in dem Fall einfach der kompromittierte Dienst bzw. sein Port. Was soll iptables hier tun?
In dem Fall kann es nichts tun. Die Shell, mit der der der Dienst ueberlagert wurde, ist ueber die bereits laufende Verbindung steuerbar. Trotzdem wuerde man von dieser Shell aus keinen neuen Verbindungsaufbau nach aussen triggern koennen, etwa um weitere Tools nachzuladen.
Wie saehe Dein Firewallkonzept aus? Waere grundsaetzlich noch ein IDS dabei, um auch auf Protokollebene zu analysieren?
Gruss, Chris
--
Christian Perle chris AT linuxinfotag.de
010111 http://chris.silmor.de/
101010 LinuxGuitarKitesBicyclesBeerPizzaRaytracing