Nou, een rootkit komt meestal in de vorm van een LKM; een
Linux Loadable Kernel Module waarbij het dus taken van de
kernel overneemt of beinvloed, meestal om bijvoorbeeld
processen (programma's die uitgevoerd worden) onzichtbaar te
maken voor gewone programma's als `ps'.
Het kan ook zijn dat de rootkit systeembestanden
overschrijft, zoals het `ps' programma, gewoon een andere
benadering.. maar het kan ook zo zijn dat je SSH server is
gewijzigd. Meestal is het een LKM maar het kan ook geinstalleerd worden door gewoon de kernel binary aan te passen en zelfs on the fly doormiddel van /dev/kmem en je kunt het zo gek niet bedenken. Het gebeurd ook best vaak dat bestaande LKMs geinfecteerd worden. Dit alles is dus alleen mogelijk als iemand je systeem kraakt.

Begrijp goed dat als een aanvaller root privileges op je systeem heeft bemachtigd, ALLES mogelijk is.. dus alles wat met software mogelijk is kan gedaan worden op een systeem. Er zijn de gekste dingen van het opslaan van informatie op een swap partitie tot het communiceren doormiddel van icmp data velden.. alles is mogelijk voor root.

Al deze dingen zijn *alleen* mogelijk als een inbreker
toegang tot je root account heeft. Zorg er dus altijd voor
dat je niet als gebruiker `root' ingelogt bent wanneer je
gewoon op je systeem werkt! Maak een gewone gebruiker en
indien je veel beheerstaken uitvoert dan kun je SUDO
installeren, zodat je af en toe een opdracht met volledige
privileges uit kunt voeren.

Het voorkomen van een rootkit is dus gewoon zorgen dat je
systeem veilig is; patches installeren, geen onnodige
daemons draaien. Verder kun je nog eventueel grsecurity
kernel patch gebruiken om het een en andere wat veiliger te
maken.

De enige manier dat je dit dus op je PC krijgt is dat er is
ingebroken op je computer.

Een rootkit is dus vaak ook enigszins vergelijkbaar met een
trojan, maar onder `rootkit' valt dus vaak het hele arsenaal
van tools; backdoors, log prevention, hiden van bestanden,
users en processen.

Als je denkt dat je een rootkit hebt of gewoon wil testen of
je het hebt moet je een programma als `chkrootkit' of
`rkhunter' gebruiken. Als je erg angstig bent kun je ook nog
tools als tripwire of aide gebruiken om in de gaten te
houden dat geen systeembestanden worden overschreven,
daarbij de database secure opslaan ergens.

Rob bedankt voor je uitleg.

Maar dan heb ik nog een andere vraag. Is het nu veiliger
voor een leek om het toch maar bij windows te houden, of
valt het wel mee en is het risico niet zo groot dat je pc
gehackt wordt onder linux(bij normaal thuisgebruik).

Want soms heb ik het gevoel dat je toch veel meer moet weten
van linux als dat men denkt, terwijl ze linux toch
gebruiksvriendelijker willen maken voor een linux leek/newbie?

je kunt rootkits omzeilen door de root-account te deleten.
Dit is een zeer drastische maatregel die soms door
serveradmins wordt toegepast. Om het systeem te herstellen
of te veranderen heb je dan wel een backupsysteem nodig
waarmee je je rootpartitie opnieuw kan installeren ,bv vanaf
een tweede harde schijf.

Tijdens het installeren van Tripwire krijg ik onderstaande
melding

/usr/lib/sendmail -oi -t does not exist. Exiting.

Moet ik op deze pagina waarschijnlijk iets downloaden?
http://www.sendmail.org/

En als het niet teveel moeite is wilt mij iemand dan
uitleggen in het kort wat sendmail is?

Alvast bedankt.

p.s. ik heb echt eerst op google gezocht en
linuxquestions.org maar kon er niets over vinden. Dus hoop
ik dat iemand mij wilt helpen aangezien dit toch een progje
is die met security heeft te maken.

Wow waar kom jij vandaan? Zo'n onzin heb ik nog nooit gehoord!
Ooit bij nagedacht dat er altijd processen in je systeem
zitten die met full privileges draaien (incluis de kernel)? Het maakt geen
verschil of je nu wel of niet een root account hebt.
Daarnaast vind ik het maar een raar advies die je geeft aan
een linux-leek :-)

Ik weet niet hoe tripwire bij het pad /usr/lib/sendmail
komt, ik heb nog nooit een sendmail executable daar zien
staan. De sendmail binary wordt waarschijnlijk gebruikt voor
het sturen van rapportages en dergelijke.. Je moet even;
which sendmail ofzo draaien en kijken of je in
tripwire.conf(?) het pad kunt aanpassen.

Als je sendmail niet hebt zou ik het niet downloaden vanaf sendmail.org, je kunt ssmtp (simple smtp) installeren, dat is wel een makkelijk op te zetten smtp server, probeer dan de sendmail of `mail' binary

graag gedaan


De kans is ongeveer gelijk, bij Windows heb je veel kans op
virussen als je als leek besluit om niets aan je beveiliging
te doen, bij Linux is er meer kans dat je systeem
rechtstreeks wordt gekraakt door een "hacker" (een script
kid in dit geval). Dit omdat een linux-beginner vaak een
zeer slechte manier van installatie kiest; bijv. je ziet
vaak dat beginners ALLE software installeren, waardoor dus
alle services/daemons gestart worden en je dus kwetsbaarder
wordt voor rechtstreekse aanvallen. Linux systemen zijn vaak ook wel aantrekkelijk voor aanvallers omdat het de ideale systemen zijn om te gebruiken bij nieuwe aanvallen, een ideale omgeving voor de hacker zeg maar.

Om veilig te zijn moet je altijd wat werk verzetten
hiervoor, er is voor windows en ook voor linux heel veel
informatie beschikbaar over het beveiligen van je computer,
en het is even moeilijk of makkelijk om windows en linux
redelijk veilig te maken.

De meeste "gebruiksvriendelijke" distributies (redhat
fedora, suse) hebben ook update mogelijkheden over het
netwerk, als je dat wekelijks doet zit je al op safe. Het is
dus absoluut niet moeilijk.

Zoek op google of packetstormsecurity.nl programma met de
naam "Anti Exploit".

> Maar zijn er andere manieren ter voorkoming van een rootkit.
Ik heb namelijk geen idee waar zoiets in verborgen kan
zitten m.a.w. op je pc krijgt.


Ja, met Tripwire. Zie google.