@TBone
Grundsätzlich hast du natürlich recht, aber ich denke hier geht es ja erstmal mehr darum, wie man prinzipiell das System beobachtet.
Klar - wenn man sich ein ordentliches Rootkit gefangen hat ist sowieso Ende und außer Platte ausbauen Forensik bleibt nicht mehr viel, ich denke jedoch nicht, dass es hier um so etwas geht.
@F4r3l:
Ich würde sagen mach es einfach wie efreak4u es gesagt hat und schau dich erstmal um was man mit Boardmitteln und anderen kleinen Helferlein so alles beobachten kann.
Was ich bei Arch immer schon toll fand ist, dass ich (wenn ich mir bei htop die Prozesse angucke) eigentlich bei jedem Prozess sagen kann "ja, den hab ich gestartet", oder mir nach etwas suchen herleiten konnte "achso, der läuft aus dem und dem Grund"....
Außerdem hilft sogar unter Linux "brain.exe" (läuft nativ und ohne wine 😉 )
Einfach nicht alles installieren was irgendwo am Straßenrand rumliegt - Signaturen für pacman nutzen und wenn man schon aus dem AUR baut wenigstens das PKGBUILD angucken und was da passiert.
Klar könnte der Quellcode dann immer noch verseucht sein, aber zumindest kann man im pkgbuild schonmal erkennen wo er herkommt - wenn es die Projektseite ist, dann ist das schonmal ein gutes Zeichen 😉
Echte Sicherheit hast Du natürlich nur wenn Du dir alles selbst baust und dir vorher jeden Quellcode anguckst... aber wer hat dafür schon die Zeit... und ist so paranoid!?
So... ich bin dann mal weg... Linux-3.14 lesen
:-D