Intrusion Detection System

Greyghost

Greyghost

Aktives Mitglied
Thread Starter
Dabei seit
24.01.2009
Beiträge
144
Reaktionspunkte
4
Hallo,

hat jemand Erfahrungen mit Rootkit Hunter 0.2[/B][/B] oder einem anderen fähigen IDS gemacht. ich bin auf der Suche nach einem sinnvollen Ergänzungstool um eventuelle 'Plagegeister' aufzuspüren, die durch die Firewall gerutscht sind...

danke

G.
 
Benutze Rootkit Hunter seit Jahren auf Linux und nun auch auf dem Mac. Sollte man sich am Besten sofort nach dem installieren des Betriebssystems drauftun. Stellt natürlich keinen 100%igen Schutz dar, aber kann etliche rootkits aufspüren. Sinnvolles Programm und Freeware.
 
Danke Dir für das Feedback; Hast Du sonst noch einen guten Tip zu Securiry Software in dieser Richtung?

Thx G.
 
Nichts zu danken! Um Deine Frage zu beantworten, unter debian hatte ich noch "chkrootkit" im Einsatz, ist eine Ergänzung zu Rootkit Hunter, allerdings nur über das Terminal zu bedienen. Müsste auch unter Mac funktionieren, hab es aber noch nicht getestet.
 
alls diese tools sollte man dann aber von einem sauberen system aus starten. z.b. einer livecd
 
Hat jemand von Euch auch schon das 'Original' genutzt (rkhunter von Mike boelen)? Und wenn ja, zu welcher der beiden Vsersionen würde derjenige vorziehen?

Gruß G.
 
Benutze auf meinen debian Rechnern RK Hunter 1.3.4 von Mike Boelen, auf dem Mac mit Leo aber Rk Hunter 0.2 von Christian Hornung, nicht weil es eine nettes GUI hat, sondern weil es auf OS X modifiziert wurde und sich so vieleicht besser ins System integriert. Jedenfalls läuft es problemlos und ich kann es nur empfehlen!
 
Würdet Ihr es bitte sofort melden, wenn Ihr ein solches Rootkit auf einem Mac gefunden habt? Wäre toll... Dann wärt Ihr auch sofort in den internationalen IT-Schlagzeilen. Wow - und das alles vom macuser.de-Forum aus. Paranoia rules - Ihr würdet uns alle schlagartig berühmt machen... :D
 
Kannst Du haben, bevor man anderen Paranoia unterstellt, sollte man sich vielleicht erst mal besser informieren. Gib doch einfach mal "rootkit" auf Wikipedia an, oder schon mal was vom Sony BMG rootkit gehört, siehst Du hier:
www.medienrauschen.de/archiv/sony-bmg-rootkit-nun-auch-auf-dem-mac
Oder glaubst Du, nur weil Du einen mac hast, bist Du vor allen Schädlingen gefeit? Dachten sich wohl auch jene, die sich auf einer Pornoseite einen "codec" zum Abspielen geladen hatten und sich damit einen Trojaner einfingen. Quelle:
www.spiegel.de/netzwelt/tech/0,1518,514860,00.html
Aber klar, Paranoia rules...
Per se halte auch ich ein UNIX System für ziemlich sicher und das beste Programm ist immer noch "Brain", würde mir auch (noch) keinen Virenscanner installieren, aber RK Hunter macht in meinen Augen schon Sinn.
 
Zuletzt bearbeitet von einem Moderator:
halle benji - also wer heute noch jemandem, der seinen Rechner 'sicher' machen will, als paranoid bezeichnet, lebt entweder wirklich hinterm Mond oder ist von der 'anderen Seite', die es gut finden, sperrangelweite Rechner vorzufinden. Nur zur Info, die ersten Rootkits für Mac wurden schon 2003 identifiziert (dubbed opener), die man sogar ohne admin privilegien installieren konnte.

Wahrscheinlich glaubst Du auch Little Snitch schützt dich vor Home-phoning ;-)

Träum weiter....
 
Wolf X, hast Du eventuell auch schon mal mit dem FirewallBuilder gearbeitet?
 
Wahrscheinlich glaubst Du auch Little Snitch schützt dich vor Home-phoning ;-)
Zum Vergrößern anklicken....


Könntest du das näher erläutern? Tut es das etwa nicht?
 
Grundsätzlich ist das die Funktion von LS, ja. Aber es kann und iwrd gebypasst. Der bekannteste Fall ist der Einsatz von FlexNet (z.B. bei Adobe und Filemaker) FlexNet umgeht LS. Natürlich antworten die Jungs von Objective Development darauf nur kryptisch, dass LS auf dem Kernel aufsetzt und wer den Kernel manipuliert auch LS austricksen kann. Aber ich kenne Leute die mit einem Sniffer den Test gemacht haben. Also LS ist gut (ich benutze es auch) aber man sollte sich nicht in Sicherheit wiegen, dass damit der 'Sack' zu ist.

BTW - ich kann Dir als ideale Ergänzung dazu FileDefense empfehlen. Das ging selbst bei kleinen bösen Shell-Scripts nicht in die Knie...

Gruß G.
 
@Greyghost

Nein, mit FirewallBuilder habe ich noch nicht gearbeitet, soweit ich mich entsinne, hat es mit itables zutun? Ich hab grundsätzlich alle resp. fast alle Dienste deaktiviert und somit kaum offene ports, zusätzlich sitze ich hinter einen Router und bei mac auch noch die bordeigene Firewall auf die strengste Einstellung gesetzt. Ich denke, für einen Homeanwender dürfte das ausreichend sein.
 
@WolfX, ja grundsätzlich hast Du Recht. Ich suche nur gerade nach einer Möglichkeit meine ipfw Firewall einstellungen komfortabler zu verwalten und teste einige GUI-Programme (seit leopard nur noch mit application firewall arbeitet, ist mir das über terminal zu aufwendig). Hatte immer Waterroof aber gucke mich aktuell mal ein bischen um...trotzdem danke für die Antwort.

Gruß G.
 
@ Greyghost

Wurde der Test mit "wireshark" gemacht? Hatte ich mal im Einsatz, nicht schlecht.
 
Nein, wir haben tcpdump/ tcptrace verwendet. Aber ich kenne wireshark, wirklich ein gutes programm.

Wir haben das in Zusammenhang mit einem Shieldsup-Test gemacht, leider haben wir ihn nie bestanden ;-)
 
Greyghost schrieb:
@WolfX, ja grundsätzlich hast Du Recht. Ich suche nur gerade nach einer Möglichkeit meine ipfw Firewall einstellungen komfortabler zu verwalten und teste einige GUI-Programme (seit leopard nur noch mit application firewall arbeitet, ist mir das über terminal zu aufwendig). Hatte immer Waterroof aber gucke mich aktuell mal ein bischen um...
Zum Vergrößern anklicken....

das sollte mit fwbuilder ganz gut gehen.
ich selber verwalte damit meinen paketfilter auf openwrt(linux)-basis
 
ja, genauso etwa smeinte ich. OpenWrt ist doch meines Wissens auch ein Comand-line system, richtig? Und Du bist zufrieden mit dem GUI von FirewallBuilder?

Gruß G.
 
Greyghost schrieb:
ja, genauso etwa smeinte ich. OpenWrt ist doch meines Wissens auch ein Comand-line system, richtig?
Zum Vergrößern anklicken....
es ist ein linux wie jedes andere.
wer will kann auch kde installieren.
ich wüsste halt bei meiner hardware nicht wo ich maus, tastatur und monitor anschliessen soll, aber mann könnte kde ja auch per ssh -X starten.

Greyghost schrieb:
Und Du bist zufrieden mit dem GUI von FirewallBuilder?
Zum Vergrößern anklicken....
es erfüllt meine anforderungen, also: ja, ich bin zufrieden
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben Unten