Startseite
Virenarten Hackerangriffe Sicherheitslücken
Firewall Antivirenprogramme Zukunftsmusik
Impressum Kontakt Hauptindex
Rootkits
Wenn ein Hacker sich zu einem Rechner Zugang verschafft, dann will er natürlich
die Möglichkeit haben, nochmals ohne weitere Probleme in den Computer einzudringen.
Die Sicherheitslücke, die er schon benutzt hat, ist aber zu unsicher, da sie der
Systemadministrator sicher bald schließen wird. Eine neue Sicherheitslücke
einzufügen, wäre ebenfalls unsicher, da man auch hier Spuren hinterlässt,
die den Systemadministrator dann sofort zu dem Hintertürchen führen würden.
Also was macht der Hacker? Er installiert ein Rootkit. Ein Rootkit hat folgende Funktionen:
- Es öffnet dem Hacker einen unbenutzten Port(z.B. Port 65535)
- Es verschleiert die "Arbeit" des Hackers
Hierbei gibt es 2 Arten von Rootkits:
Die "normalen" Rootkits, die nur softwarebasiert sind
und dann noch die "bösen" Rootkits, die Kernelbasiert sind, d.h. direkt in die
Hardwaretreiber bzw. Prozessorenstruktur hineingeladen wird.
Hier wird im Speziellen auf die "bösen" Rootkits eingegangen
Wenn der Systemadministrator oder eine Firewall nun nach auffälligen Prozessen in der Log-Datei, z.B.nach Prozessen, die von außen aufgerufen wurden,suchen, werden diese Anfragen von dem Rootkit abgefangen und die aussortiert, die den offenen Port oder die Aktivitäten des Hackers entblößen würden. Erst dann kommt die Anfrage zu dem Prozessor und dessen Antwort zurück an die Firewall bzw. den Systemadministrator. Dies betrifft auch die Suchfunktion, wenn man nach dem Rootkit auf der Festplatte sucht. Der eventuelle Treffer wird einfach nicht angezeigt!
Also ist es absolut unmöglich das Rootkit von innen heraus aufzustöbern, da alle Anfragen von innen diesbezüglich umgeleitet werden. Meistens hilft nur ein externer Portscan, der den offenen Port entblößt. Diesen Port gilt es dann zu schließen und ihm jegliche Rechte zu entziehen. Auch die anderen offenen Ports sollten überprüft werden und im Zweifelsfall geschlossen werden. Am besten wäre es, erst alle Ports zu schließen und ihnen alle Rechte zu entziehen. Danach sollte man manuell die Ports öffnen, die man auch wirklich braucht und ihnen die entsprechenden Rechte einräumen. Vor dieser Arbeit sollte man sich aber eingehend informieren oder es gleich einem Profi überlassen. Doch oft hilft der Hacker auch noch, da sein Rootkit nicht perfekt ist und man so eine Schwachstelle des Rootkits hat, die man finden und ausnutzen kann.
Quellen: heise.de/security