Tag zusammen, kann man irgendwie feststellen, ob ein PC gekapert wurde? Danke und Gruß
Moin
Tag zusammen, kann man irgendwie feststellen, ob ein PC
gekapert wurde? Danke und Gruß
Indem man alle Systemdateien mit sauberen Dateien gleicher Version vergleicht.
cu
Tag zusammen, kann man irgendwie feststellen, ob ein PC
gekapert wurde?
In den Logdateien und mit tripwire.
Gruß zurück
Hi, Pumpkin,
und wie funktioniert das? Nein, ich bin kein DAU. Dank Dir für Antwort. Gruß
Moin
und wie funktioniert das?
Man stoppet den Rechner, bringt eine Kopie des Dateisystems auf einen anderen Rechner (also man bau die Platte in einen anderen Rechner ein) und vergleicht alle Betriebsystemdateien (inklusive MBR und Scherze wie Suspend-to-Ram-Dateien) mit Dateien aus sicheren Quellen (Also mit Dtaeien die sicher OK sind)
Bei Linux gibt es verschiedene Skripts die die Packages von den Installations-cds mit den installieren Dateien vergleichen.
Bei windows gibt es eine root-kit-aufspür-CD die bei laufendem System nach Veränderungen sucht. Aber die kann nicht wirklich auf alle wichtigen Dateien zugreifen und ist somit austricksbar. Ob’s eine Variante mit vollständigen Check gibt weiss ich nicht…
Am einfachsten ist der Vergleich mit alten Backups.
Der Test zeigt sehr schnell ob was grundsätzliches faul ist. Allerdings werden die Einstellungen nicht geprüft, d.h. wenn sich ein Angreifer ein Admin-user eingerichtet hat fällt das nicht auf. Andererseits würde ein Angreifer wohl versuchen den Account zu verstecken, was nur mit Änderungen am System selbst geht.
Schlimmer sind Veränderungen in Serverprogrammen wie z.B. einem FTP-Prog. Wenn das in den Referenzdaten fehlt ist ein Loch im Sicherheitsnetz.
Es gibt noch andere Ansätze (z.B. per Portscanner den PC absuchen, Antivirensoftware, Netzwerktraffic aufzeichnen und auswerten) aber das komplette Vergleichen dürfte die Totschlag-Methode Nummer 1 sein.
cu
Hallo,
und wie funktioniert das?
Man stoppet den Rechner, bringt eine Kopie des Dateisystems
auf einen anderen Rechner (also man bau die Platte in einen
anderen Rechner ein) und vergleicht alle Betriebsystemdateien
(inklusive MBR und Scherze wie Suspend-to-Ram-Dateien) mit
Dateien aus sicheren Quellen (Also mit Dtaeien die sicher OK
sind)
das mag wohl was bringen, wenn man weiß wonach man sucht,
aber bei einem allg. Check wird das wohl eine ziehmliche
Mühe ohne große Erfolgsaussichten, weil kein Windowssystem
dem anderen gleicht, nachdem da alle mögliche Software
mal installiert wurde. Selbst Windows selbst wird da
schon das Vergleichen schwer machen, wenn nicht alle
Updates und Patches absolut gleich drauf gespielt wurden.
Gruß Uwi
Bei Linux gibt es verschiedene Skripts die die Packages von
den Installations-cds mit den installieren Dateien
vergleichen.
Bei windows gibt es eine root-kit-aufspür-CD die bei laufendem
System nach Veränderungen sucht. Aber die kann nicht wirklich
auf alle wichtigen Dateien zugreifen und ist somit
austricksbar. Ob’s eine Variante mit vollständigen Check gibt
weiss ich nicht…Am einfachsten ist der Vergleich mit alten Backups.
Der Test zeigt sehr schnell ob was grundsätzliches faul ist.
Allerdings werden die Einstellungen nicht geprüft, d.h. wenn
sich ein Angreifer ein Admin-user eingerichtet hat fällt das
nicht auf. Andererseits würde ein Angreifer wohl versuchen den
Account zu verstecken, was nur mit Änderungen am System selbst
geht.Schlimmer sind Veränderungen in Serverprogrammen wie z.B.
einem FTP-Prog. Wenn das in den Referenzdaten fehlt ist ein
Loch im Sicherheitsnetz.Es gibt noch andere Ansätze (z.B. per Portscanner den PC
absuchen, Antivirensoftware, Netzwerktraffic aufzeichnen und
auswerten) aber das komplette Vergleichen dürfte die
Totschlag-Methode Nummer 1 sein.
cu
Moin
das mag wohl was bringen, wenn man weiß wonach man sucht,
aber bei einem allg. Check wird das wohl eine ziehmliche
Mühe ohne große Erfolgsaussichten, weil kein Windowssystem
dem anderen gleicht
Deshalb geben ja diverse Sicherheitsfirmen die MD5-Summen und Grössen aller windows-Standart-Libs raus. Inklusive aller Varianten und Updates. Das ist zwar kein Bit-by-Bit Vergleich, aber die Chance 2 MD5-gleiche zu finden die auch noch beide auf x86 Sinn machen ist doch eher gering.
Gedacht ist das ganze aber eher für Datenretter, die sich nicht mit den Standartlibs aufhalten wollen.
cu
Zusatz.
Zusatz.
Das Feststellen, ob ein PC gekapert wurde, ist genauso aufwendig, als wenn man sich ein schönes fertiges Betriebssystemimage wieder auf die Festplatte draufspielt.
So umgehe ich das Problem und ist eine sichere Variante. Es sei denn, das schöne fertige Betriebssystemimage hat sich während der Fertigstellung etwas eingefangen.
Cya Jan