sslug-teknik team mailing list archive

Thread
Date

Re: Monitorering

To: sslug-teknik@xxxxxxxx
From: Peter Makholm <peter@xxxxxxxxxxx>
Date: Tue, 17 Sep 2002 09:23:52 +0200
Cancel-lock: sha1:/zqVY303QCniLlaNGrhl67Ledgs=
Delivered-to: mailing list sslug-teknik@xxxxxxxx
Mailing-list: contact sslug-teknik-help@xxxxxxxx; run by ezmlm
Newsgroups: sslug.teknik
Organization: The Danish Cabal
User-agent: Gnus/5.090007 (Oort Gnus v0.07) XEmacs/21.4 (Common Lisp, powerpc-debian-linux)
Xyzzy: Nothing happens!

Mogens Valentin <monz@xxxxxxxxx> writes:

>> Tripwire, signerer sin database for at undgå dette, men jeg mener bestemt
>> der findes rootkits, der fikser dette ved at ændre på tripwire-binarien.
>
> Så lægger man sine IDS systemer med conf og databaser på cdrom =
> readonly.

Du har stadig probleme med at indtrængerene kan erstatte det cronjob
der udfører tripwire. Jeg tror den eneste måde som en indtrængende
ikke kan omgå er hvis man jævnligt hiver maskinen helt ned, booter fra
en live-CD (eller ligende) og tjekker systemet derfra. Derefter hiver
man systemet op i normal tilstand igen.

-- 
 Peter Makholm     |              I have no caps-lock but I must scream...
 peter@xxxxxxxxxxx |                                               -- Greg
 http://hacking.dk |

Follow ups

Re: Monitorering
From: Klavs Klavsen, 2002-09-17

References

Monitorering
From: jesper . hald, 2002-09-16
Re: Monitorering
From: Klavs Klavsen, 2002-09-16
Re: Monitorering
From: Mogens Valentin, 2002-09-16