[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[connect24h:01502] Re: Backdoor の対処メモ

To: connect24h@xxxxxxxxxxxxx
Subject: [connect24h:01502] Re: Backdoor の対処メモ
From: Kazuhiro Inoue <kazuhiro@xxxxxxxxxxxxx>
Date: Wed, 21 Feb 2001 18:39:45 +0900


いのうえです。

On Wed, 21 Feb 2001 17:47:45 +0900
Sonoda Michio <sonodam@xxxxxxxxx> wrote:

> 
> rootkitをrpmパッケージとしてインストールしていなかった場合、例えばソースをコ 
> ピーしてきてコンパイルしてファイル上書きされた場合はrpmデータベースに変化が 
> 無いと思いますが、いかがでしょうか？

rpm -Va を実行すろと、パッケージインストールされたすべてのファイルについ
て、インストール時の状態から変化していないかどうかを rpm データベースと
比較して検証します。

だから、ご指摘のように「ソースからコンパイル」したバイナリを「既存のファ
イルに cp 等で上書き」の場合は MD5 チェックサム、ファイルサイズ等が
rpm データベースに記録されている内容と異なっていますから検出可能です。


ただし各種設定ファイル等についてもインストール時の状態との比較が行われま
すので、いくつかの設定ファイルは矛盾として検出される場合があるのがこの方
法の欠点です。


-- 
Kazuhiro Inoue <kazuhiro@xxxxxxxxxxxxx>

Follow-Ups:
- [connect24h:01505] Re: Backdoor の対処メモ
  - From: Sonoda Michio

References:
- [connect24h:01491] Re: Backdoor の対処メモ
  - From: Kazuhiro Inoue
- [connect24h:01496] Re: Backdoor の対処メモ
  - From: Sonoda Michio

Prev by Date: [connect24h:01501] Re: Backdoor の対処メモ
Next by Date: [connect24h:01503] Re: Backdoor の対処メモ
Previous by thread: [connect24h:01496] Re: Backdoor の対処メモ
Next by thread: [connect24h:01505] Re: Backdoor の対処メモ
Index(es):
- Date
- Thread