Experten für chkrootkit u. rkhunter gesucht

[Ma.]

Macht es Sinn chkrootkit u. rkhunter unter OS X zu benutzen?
Schaden kanns doch nicht?

Wer macht eine Anleitung für DAUs, um die Tools einfach unter OS X benutzen zu können?

Danke

 

[kyxh2o]

Gibt es Deines Wissen denn ein Rootkit für MacOS? Wenn ja, welches? Würde es von diesen Tools entdeckt werden?

Auch wen MacOS unixoid ist, ist es kein Linux. Gerade solche Systemprüfungstools kann man nicht einfach auf jedem Unix-artigen OS laufen lassen.

 

[maba_de]

Gibt es Deines Wissen denn ein Rootkit für MacOS? ....

es gibt Rootkits für Unix, also ist zumindest theoretisch Mac OS X auch betroffen. Ob es eine reelle Gefahr gibt weiß ich nicht.

 

[kyxh2o]

Hier lesen.

Lustig fand ich auch "Die geplante Live-Demonstration schlug fehl..."

Deshalb meine Fragen: "Gibt es Deines Wissen denn ein Rootkit für MacOS? Wenn ja, welches? Würde es von diesen Tools entdeckt werden?"

 

[maba_de]

Hier lesen.

Lustig fand ich auch "Die geplante Live-Demonstration schlug fehl..."

Deshalb meine Fragen: "Gibt es Deines Wissen denn ein Rootkit für MacOS? Wenn ja, welches? Würde es von diesen Tools entdeckt werden?"

weiß ich ehrlich gesagt nicht.
Für Unix gibt es ein paar.

Aber Angst machen mir in diesem Zusammenhang nicht die Fritzen, die medienwirksam irgendetwas präsentieren, sondern die, die so etwas programmieren und damit Geld verdienen.
Denn so Sachen bringen heutzutage auf dem Schwarzmarkt viel Geld.

 

[SelonScience]

Sony hat doch auch ein Rootkit fuer OSX geschrieben.

Sony - a company that isn't exactly known for being that OS X friendly or aware (...), was able to sneak OS X kernel extensions into the wild, and one report I've seen said some of these rootkit-ridden discs are up to a year old.

http://www.tuaw.com/2005/11/17/on-the-sony-drm-rootkit-issue-and-os-x-security-implications/

 

[wegus]

Rootkits sind komplex! Deren Nutzung ist komplex, sie zu entdecken ist komplex, sie wieder loszuwerden ist komplex. Wie soll es da eine Anleitung für DAUs geben

 

[Wolf X]

@ wegus

Dem gibt es nichts hinzuzufügen!

@ Ma.

Ich glaube mich zu erinnern, dass man chkrootkit unter OS X nur via Konsole und als root ausführen kann. Also nix für Daus. Macht auch nur auf einem frisch installierten System Sinn!

Bei rkhunter gibt es eine Version für Mac, bei der Du nicht die Konsole benutzen brauchst, heißt "OS X Rootkit Hunter 02" von Christian Hornung und ist einfach zu bedienen.

Aber wie gesagt, macht nur auf einem frisch installierten System Sinn.

 

[martinibook]

Warum nur auf einem frischen System?

 

[SirLockholmes]

Warum nur auf einem frischen System?

will sich mir auch nicht erschliessen, denn selbst ein frisches system kann im vorfeld schon "kitted" sein, zB beim hersteller ...

was komplexität angeht, find ich das gar nicht so spannend, nen kernel-rootkit zu erkennen ist auch kein hexenwerk, direkt den kernel ansprechen und process-list mit der der über die API zurückgegebenen antwort vergleichen, wenn da was läuft was nicht gemeldet wird *hab_dich* ...

man muss sich nicht verkohlen lassen *wie toll* diese techniken denn angeblich sind ... wenn man weiss wo und wie man suchen kann, ist das nämlich gar kein problem ...

 

[Wolf X]

Weil rkhunter die vorhandenen Dateien anhand von MD5-hashes vergleicht und daher sollte man schon sicher sein, das Prog auf einem nicht komprimittierten System zu installieren um die entsprechenden MD5-Fingerprints anzulegen.

@ SirLockholmes
Der TE ist nach eigenen Angaben ein Dau und deshalb hab ich ihn auf eine grafische Variante hingewiesen, mit der sich ein System einfach scannen lässt.

 

[martinibook]

Okay, man sollte das also erstmal auf einem frischen System einrichten und dann kann man später richtig suchen, das ist so logisch.

 

[SirLockholmes]

Weil rkhunter die vorhandenen Dateien anhand von MD5-hashes vergleicht und daher sollte man schon sicher sein, das Prog auf einem nicht komprimittierten System zu installieren um die entsprechenden MD5-Fingerprints anzulegen.

@ SirLockholmes
Der TE ist nach eigenen Angaben ein Dau und deshalb hab ich ihn auf eine grafische Variante hingewiesen, mit der sich ein System einfach scannen lässt.

schon einleuchtend, aber für mich irrelevant. wie gesagt kann ich mir nie sicher sein ob das gerät kompromitiert wurde wenn ich den source nicht selbst überprüfe und übersetze ... somit hilft rkhunter hier vielleicht zu erkennen was ab zeitpunkt der installation sich geändert hat zu prüfen und zu melden und das reicht im grunde auch - aber eigentlich interessiert ja das, was aktiv wird und anfängt irgendetwas zu tun was eben nicht stattfinden soll und genau diese applikationen gilt es zu erkennen und zu eleminieren - von einem binary das vollkommen modifiziert wurde aber nie benutzt wird geht keine gefahr aus ...

 

[Wolf X]

Verstehe, kannst Du kurz und verständlich die einzelnen Arbeitsschritte erläutern, wie man den Kernel direkt anspricht und process-list mit der über die API zurückgegebenen Antwort vergleicht?

Denke, damit wäre nicht nur mir geholfen, sondern anderen usern auch.