[LUGA] Mit freundlicher Unterstützung von:
Linux New Media AG

Mail Thread Index


[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [luga] "top" = "3" ???



On Mon, Jan 14, 2002 at 08:58:10PM +0100, Reiner Rusch wrote:
 
> ich bin dann mal mittels "stat <datei>" auf /bin/ps bzw. /bin/rpm gegangen:
> 
> /bin/ps:
> Access: Mon Jan 14 20:47:44 2002(00000.00:08:34)
> Modify: Sun Sep 26 19:19:10 1999(00841.02:37:08)
> Change: Mon Jan 14 14:12:33 2002(00000.06:43:45)
[...] 
> 
> Die "Change"-Zeit macht mir etwas Sorgen....
 
Wie bereits in einer anderen Mail angedeutet, haben diese Time-Stamps
absolut keine Aussagekraft. Man kann alle 3 Time-Stamps mit System-Calls
(siehe utime(2) und utimes(2)) auf jeden beliebigen Zeitpunkt in der
Vergangenheit oder Zukunft setzen. Dazu muss das System auch gar nicht
gecracked bzw. Binaries ausgetauscht werden, das funktioniert auch so immer.
Man kann von solchen Time-Stamps also keine Aussage ueber erfolreiche bzw.
erfolglose Hack-Versuche ableiten.

Abgesehen davon sagt Change-Time nicht aus, wann die Datei zum letzten Mal
geaendert wurde, sondern wann die Inode-Informationen dieser Datei geaendert
wurden (Permissions, Owner, Group, etc.) (siehe stat(2)).

Wirklichen Aufschluss, ob der Rechner gehacked wurde, wird wohl nur Booten
des Rechners von CD und anschliessendes Pruefen auf veraenderte Binaries
bringen.

Ciao,
Markus



powered by LINUX the choice of a gnu generation
linux user group austria;
Suche
Suche
Letzte Änderung:
webmaster@luga.at
September 2010