[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[port139:00542] Re: Alamo(トロイの木馬「 K nark」の対策ソフト)
- To: port139@xxxxxxxxxxxxx
- Subject: [port139:00542] Re: Alamo(トロイの木馬「 K nark」の対策ソフト)
- From: Hideaki Ihara <hideaki@xxxxxxxxxxxxx>
- Date: Tue, 14 Aug 2001 21:27:53 +0900
いはらです。
Hideaki Ihara さんは書きました:
>Alamo
>http://www.rackspace.com/alamo/
というわけで?RedHat 7.0 上で knark-0.59 をロード後に Alamo をロ
ードしてみたところ記事通り /proc/knark が ls から確認できました。
Alamo を使うと、LKM rootkit により隠されていたファイルやディレクト
リを検出できるということであれば、Tripwire などと併用することでと
りあえずシステムに Knark とかがないかを検出できそうですね。
っていうか、そもそも /proc の下に /proc/knark ができたことを、ディ
レクトリ情報の変化から検出できないのか?>Tripwire
あとで実験してみよっと。
[root@linux alamo]# /sbin/lsmod
Module Size Used by
alamo 2064 0 (unused)
knark 6904 0 (unused)
ide-cd 23628 0 (autoclean)
lockd 31176 1 (autoclean)
sunrpc 52964 1 (autoclean) [lockd]
pcnet32 10692 1 (autoclean)
[root@linux alamo]# ls /proc
1 1093 3925 484 624 749 apm interrupts misc slabinfo
1025 2 4 491 634 750 bus ioports modules stat
1036 3 400 492 644 753 cmdline kcore mounts swaps
1038 359 401 499 659 927 cpuinfo kmsg mtrr sys
1042 369 411 5 696 932 devices knark net tty
1053 384 426 530 728 933 dma ksyms partitions uptime
1057 3897 4369 550 745 936 fb loadavg pci version
1059 3898 4370 566 746 946 filesystems locks rtc
1060 3899 480 6 747 955 fs mdstat scsi
1076 3924 483 608 748 959 ide meminfo self
---
セキュリティスタジアム 2001 ボランティアの募集
http://sec-stadium.hawkeye.ac/
Hideaki Ihara <hideaki@xxxxxxxxxxxxx>
Port139 URL: http://www.port139.co.jp/
PGP PUBLIC KEY: http://www.port139.co.jp/pgp/