Inmiddels is de RootkitHunter-taak achter mijn rug om uitgevoerd door de Unix-meester zelf. (Maar aangezien ik nooit in root werk en geen superuser ben kan er nix inzitten. Hieronder verslag van de run:adri schreef:Je zou er (voor de zekerheid) rkhunter eens op los kunnen laten.
Tss.. men doet wat men kan. Wie weet er nog wat?
Mrs. Rides,
Ik kan het natuurlijk niet over mijn kant laten gaan dat half Firefox Nederland nu denkt dat Solaris gevoelig is voor rootkits, daarom heb ik maar even de "rkhunter" gedraaid.
Hieronder een zeer korte weergave van de log nadat de anti-rootkit heeft gedraaid.
Ik kreeg enkele warnings over scripts die werden aangetroffen op plaatsen waar een binary werd verwacht, maar dat is in die gevallen de typische Solaris mores, zoals deze:
/usr/xpg4/bin/test
--------------------------------------------------------
#!/usr/xpg4/bin/sh -p
#
#ident "@(#)alias.xpg4.sh 1.1 01/09/19 SMI"
#
# Copyright (c) 2001 by Sun Microsystems, Inc.
# All rights reserved.
#
cmd=`basename $0`
$cmd "$@"
--------------------------------------------------------
Vervolgens een check op enkele bekende spooky-ones:
Sin Rootkit [ Not found ]
SInAR Rootkit [ Not found ]
Slapper Worm [ Not found ]
Sneakin Rootkit [ Not found ]
Suckit Rootkit [ Not found ]
SunOS Rootkit [ Not found ]
SunOS / NSDAP Rootkit [ Not found ]
Superkit Rootkit [ Not found ]
TBD (Telnet BackDoor) [ Not found ]
Performing additional rootkit checks
Checking for possible rootkit files and directories [ None found ]
Checking for possible rootkit strings [ None found ]
Performing malware checks
Checking running processes for suspicious files [ Skipped ]
Checking for login backdoors [ None found ]
Checking for suspicious directories [ None found ]
Checking for sniffer log files [ None found ]
Performing trojan specific checks
Checking for enabled inetd services [ Warning ]
Checking for Apache backdoor [ Not found ]
De melding over inetd hierboven moet je natuurlijk wel met een korrel zout nemen: svc:/network/inetd:default staat op jouw systeem gewoon aan.
Ik ben geneigd mee te gaan met Manuels conclusie, die o.a. zegt: "Er zijn ook gewoon een heleboel domeinnamen-met-een-typfoutje gereigstreerd door porno- of malware sites, b.v., ....."
Maar: ik weet te weinig af van browser-technologie om hier iets zinnings over te roepen. Daar heeft Mrs. Rides jullie tenslotte voor, nietwaar?
Het enige waar ik vanuit kan gaan is, als de browser lek is, de ongewenste data ofwel via het geheugen gaat, ofwel wordt weggeschreven naar file. Beide kunnen niet veel kwaad omdat Mrs. Rides nooit als superuser is ingelogd.
Ik ben verder niet geneigd om de resolver van onze caching DNS server te richten op OpenDNS; ze filteren meer je lief is. Dan kan je ook een Internet Service Provider nemen die een Bijbel-filter voor al je Internetverkeer instelt.
Thnx,
Rides