Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien
Toon posts:

[W2K] Rootkit?

Pagina: 1
Acties:

zaterdag 2 augustus 2008 22:57

Acties:

Verwijderd

Topicstarter
Via de Sysinternals Rootkit revealer kwam ik tegen dat een bestand draaiende onder Apache2, genaamd HTTPd.pid verborgen blijkt te zijn voor de Windows Api. Met andere woorden is dat bestand dus niet zichtbaar, en volgens die tool is deze wel 5 bytes groot. Is dit een onderdeel van Apache2 of is dit een verborgen Rootkit?

Ik kan niet echt vinden op Google of dit nu gaat om een rootkit, in de tussentijd Apache2 maar even stilgelegd. Het lijkt mij dat het een onderdeel is van Apache2, maar ook verdomd goed verborgen kan zijn als rootkit zijnde. Tips?

zaterdag 2 augustus 2008 23:07

Acties:
  • bredend
  • Registratie: September 2001
  • Laatst online: 29-11 12:03

bredend

5 bytes is niet meer dan 5 karakters: 54321

Dat is het Process ID, het nummertje dat elk proces krijgt om zich van andere te onderscheiden.

Ik heb ook apache draaien, maar kom em nog niet tegen. Rootkit Revealer s nog wel bezig met 'Clearing up'.

zaterdag 2 augustus 2008 23:13

Acties:

Verwijderd

Topicstarter
Hij blijft natuurlijk niet meer zichtbaar, als ik scan met Apache uit. Ik kan niet vertellen of dit een rootkit is ofniet. Ook heb ik wat registersleutels, die die scanner wel vindt, maar niet zichtbaar zijn in het registry ( duh ).

zaterdag 2 augustus 2008 23:17

Acties:
  • Shuriken
  • Registratie: November 1999
  • Laatst online: 22-11 17:32

Shuriken

Life is all about priorities

Apache is van origine Unix/Linux based. Daar wordt een pid file gebruikt of een process draait. Waarschijnlijk is dit mechanisme ook in de windows versie terecht gekomen.

Daarnaast lijken me 5 bytes sowieso niet iets om je zorgen over te maken.

I rather have a bottle in front of me, then a frontal lobotomie

zaterdag 2 augustus 2008 23:20

Acties:
  • Alex)
  • Registratie: Juni 2003
  • Laatst online: 18-11 20:57

Alex)

Apache gebruikt idd een pidfile, en dat is heel simpel te checken :)

Open een commandprompt (als administrator), en voer het commando 'taskkill /im apache.exe /f' uit... ga daarna naar de map waar Apache geïnstalleerd is, (C:\Program files\...\Apache\bin) en voer apache.exe uit, je krijgt een commandprompt die zegt dat httpd.pid niet is verwijderd.

Is inderdaad een overblijfsel uit de Unix/Linux-wereld.

We are shaping the future

zaterdag 2 augustus 2008 23:20

Acties:

Verwijderd

Topicstarter
Das fijn om te weten. :) Ik heb natuurlijk bij installatie ervoor gezorgd dat alles goedstond, firewall juist geconfigureerd was, etc, en toch in mijn logs vervelende dingen vindt enzo. Er is dus nog geen spoor van inbraak, dus ik hoef me ook niet echt zorgen te maken nog.

Enig idee hoe ik losse apache-logs met een freeware-tool of website, samenpers tot een mooi grafiekje?

zaterdag 2 augustus 2008 23:33

Acties:
  • Alex)
  • Registratie: Juni 2003
  • Laatst online: 18-11 20:57

Alex)

Logs parsen kun je doen met pakketten zoals awstats of webalizer :)

We are shaping the future

zondag 3 augustus 2008 01:40

Acties:

Verwijderd

De ervaren gebruikers van rootkit revealer adviseren om het systeem idle te laten draaien zelfs zonder internet connectie en lopende programma's op de achtergrond (Safe mode). Dit voorkomt valse positieven.

http://forum.sysinternals.com/forum_topics.asp?FID=15
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq