Hallo, Wolfgang Lasch wrote:
Am Thu, 30. November 2006 10:48 schrieb Gordon Grubert:Z.B. mit einem IDS wie aide.Hhhm, damit kann ein laufendes System überwacht werden. Für den Fall den Jan schildert, eine Platte eines bereits gehackten Systemes soll analysiert werden, hilf das nicht mehr.
Das ist so nicht ganz richtig.AIDE erstellt mehrere Prüfsummen über die spezifizierten Dateien (im idealfall über das ganze System). Diese Checksummen können selbstverständlich auch im nachhinein geprüft werden. Vorraussetzung ist natürlich, dass mehrere entsprechende DB's angelegt wurden, bekannt ist wann das System kompromitiert wurde und die AIDE DB's definitiv nicht verändert werden konnten, weil sie z.B. auf eine CD gebrannt wurden.
Das zur Theorie. In der Praxis muss man den OP fragen ob er auch regelmässige scans macht..
Gruß, Aleks