Jemand behauptet, dass versteckte Dateien (dot-Files) in Systemverzeichnissen wie /usr/lib/irgendwas/ grundsätzlich verdächtig sind. Tatsächlich meckert chkrootkit solche Dateien an. Ich finde das etwas sehr paranoid, weil ich mir keine konkrete Sicherheitslücke vorstellen kann, die durch versteckte Dateien verursacht wird. Was denkt ihr darüber?
Torsten
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
On Saturday 05 October 2002 21:11, Torsten Werner wrote:
Jemand behauptet, dass versteckte Dateien (dot-Files) in Systemverzeichnissen wie /usr/lib/irgendwas/ grundsätzlich verdächtig sind. Tatsächlich meckert chkrootkit solche Dateien an. Ich finde das etwas sehr paranoid, weil ich mir keine konkrete Sicherheitslücke vorstellen kann, die durch versteckte Dateien verursacht wird. Was denkt ihr darüber?
Solche Dateien klingen fuer mich danach, dass jemand etwas vor den Augen des Admin verstecken will. Es ist also ein indirekter Hinweis auf ein Rootkit, keine Luecke.
Konrad
- -- Never shown Star Trek episodes #19: Q: "Hello Captain! How are you?" Picard: "Number 1: my shift is over, the bridge is yours."
Am Sat den 05 Oct 2002 um 10:40:55PM +0200 schrieb Konrad Rosenbaum:
On Saturday 05 October 2002 21:11, Torsten Werner wrote:
Jemand behauptet, dass versteckte Dateien (dot-Files) in Systemverzeichnissen wie /usr/lib/irgendwas/ grundsätzlich verdächtig sind. Tatsächlich meckert chkrootkit solche Dateien an. Ich finde das
Warum sollten die nicht verdächtig sein, wenn unter normalen Umständen niemand dort solche Dateien anlegt? Wahrscheinlich hat das einen konkreten Hintergrund, sprich einige dumme Kits machen das vielleicht so und verlassen sich auf diese "Tarnung".
etwas sehr paranoid, weil ich mir keine konkrete Sicherheitslücke vorstellen kann, die durch versteckte Dateien verursacht wird. Was denkt ihr darüber?
Solche Dateien klingen fuer mich danach, dass jemand etwas vor den Augen des Admin verstecken will. Es ist also ein indirekter Hinweis auf ein Rootkit, keine Luecke.
Anderenseits sorgt ein rutkit meist dafür, daß der admin mit den üblichen Mitteln wie ps, ls, netstat, lsof usw. es nicht entdecken kann. Daher wäre der Name und Ort der Dateien schon beinahe egal.
andre
On 05.10.02 Konrad Rosenbaum (konrad.rosenbaum@gmx.net) wrote:
Moin,
[ .* in /usr/lib/* ]
Solche Dateien klingen fuer mich danach, dass jemand etwas vor den Augen des Admin verstecken will. Es ist also ein indirekter Hinweis auf ein Rootkit, keine Luecke.
Also ein Rootkit, was dann dieses Verzeichnis nicht auch noch vor ls -a versteckt ist ein ziemlich Dämliches.
H.
Am Sonntag, dem 06. Oktober 2002 um 21:08:07, schrieb Hilmar Preusse:
Also ein Rootkit, was dann dieses Verzeichnis nicht auch noch vor ls -a versteckt ist ein ziemlich Dämliches.
Finde ich auch. Danke für eure Rückmeldungen. Ich habe das Problem, dass scilab eine Datei /usr/lib/scilab/.pvmd.conf installiert. Ich frage mich, ob ich das Debianpaket von scilab ändern sollte, damit es keine versteckten Dateien enthält. Der Nachteil wäre, dass sich die Debian-Version von scilab von jeder anderen Version von scilab unterscheidet und nur deswegen, weil einige Leute versteckte Dateien verdächtig finden. Da ich kein echtes Sicherheitsrisiko in versteckten Dateien sehe, tendiere ich lieber dazu, den aktuellen Zustand beizubehalten.
Torsten
Das ist wohl mein bisheriger Rekord:
Am Sonntag, dem 06. Oktober 2002 um 23:56:42, schrieb Torsten Werner:
Received: from amavis by pu.schlittermann.de with scanned-ok (Exim 3.36 #3 (Debian)) id 17z2sK-00055B-00; Wed, 09 Oct 2002 00:30:48 +0200 Received: from localhost (pu.schlittermann.de) [127.0.0.1] by pu.schlittermann.de with esmtp (Exim 3.36 #3 (Debian)) id 17z2sI-00054c-00; Wed, 09 Oct 2002 00:30:46 +0200 Received: from amavis by pu.schlittermann.de with scanned-ok (Exim 3.36 #3 (Debian)) id 17yJJY-0007PR-00 for lug-dd@schlittermann.de; Sun, 06 Oct 2002 23:51:52 +0200
Vielleicht sollte ich diese Nachricht lieber persönlich bei Heiko abgeben, anstatt sie übers langsame Internet zu schicken? ;-)
Der Received-Header sind sowieso merkwürdig, dreimal wird die Nachricht rumgereicht und dabei zweimal auf Viren überprüft. Und was macht das 'with esmtp' dazwischen?
Torsten
On Wed, 09 Oct 2002 07:59:00 +0200, Torsten Werner wrote:
Das ist wohl mein bisheriger Rekord:
Received: from amavis by pu.schlittermann.de with scanned-ok (Exim 3.36 #3 (Debian)) id 17z2sK-00055B-00; Wed, 09 Oct 2002 00:30:48 +0200
...
Received: from amavis by pu.schlittermann.de with scanned-ok (Exim 3.36 #3 (Debian)) id 17yJJY-0007PR-00 for lug-dd@schlittermann.de; Sun, 06 Oct 2002 23:51:52 +0200
Lächerlich! Du mußt einen Gönner im Himmel haben. Ich bekam heute eine längst abgeschriebene Mail über diese Liste:
Received: from pu.schlittermann.de (meissen.net [212.172.233.34]) by serv8.inf.tu-dresden.de (8.11.2/8.11.2) with ESMTP id g99Glqt13449 for rf11@inf.tu-dresden.de; Wed, 9 Oct 2002 18:47:53 +0200 (MEST) ... Received: from rncmm2.urz.tu-dresden.de [141.30.67.222] by pu.schlittermann.de with esmtp (Exim 3.36 #3 (Debian)) id 17xPOp-0006Kh-00 for lug-dd@schlittermann.de; Fri, 04 Oct 2002 12:09:35 +0200
Snail Mail comes true ;-)
Reinhard
lug-dd@mailman.schlittermann.de
-
Andre Schulze -
Hilmar Preusse -
Konrad Rosenbaum -
Reinhard Foerster -
Torsten Werner