Home Rootkit-Scanner unter Linux

Rootkit-Scanner unter Linux

Diese Anleitung behandelt die Installation und Verwendung von Rootkit-Scannern (chkrootkit und rkhunter) unter Linux. Es wurde die verbreitete Distribution Ubuntu verwendet, dürfte jedoch mit leichten Unterschieden auch für andere Linux-Distributionen gültig sein.

Diese Anleitung setzt voraus, dass man zumindest theoretisch weiß, was Rootkits sind (Infos sind hinter den Links im rechten oberen Kasten oder auf den Herstellerseiten der jeweiligen Tools). Außerdem sollte einem immer bewusst sein, dass beide Tools keine vollständigen Detektoren sind, sondern nur bekannte Rootkits entdecken und ansonsten nur als Entscheidungshilfen dienen können. Wenn beim Scan Warnungen ausgegeben werden, sollte man ihnen auf den Grund gehen und selber entscheiden, ob es sich um einen echten Einbruch handelt. Bei unverständlichen „Warnings“ hilft oft Suchen im Internet weiter.

Für Ubuntu-Anwender sind die Tools chkrootkit und rkhunter über die Ubuntu-Quellen per apt-get beziehbar. Allerdings nicht in den neuesten Versionen. Da Security-Scanner aber bevorzugt frisch sein sollten, muss man auf die beiden Pakete in den Ubuntu-Quellen verzichten und die Tools manuell installieren.

chkrootkit-Installation

  1. ins ~/bin-Verzeichnis wechseln (wenn nicht vorhanden, vorher mit cd && mkdir bin erstellen)
  2. chkrootkit runterladen: wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
  3. die Prüfsummendatei auch: wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.md5
  4. Ausgabe von md5sum chkrootkit.tar.gz mit der von cat chkrootkit.md5 vergleichen (sollte identisch sein, wenn nicht, nochmal runterladen und prüfen, oder es sein lassen, da das ein Hinweis auf eine kompromittiertes Archiv auf dem Server sein kann)
  5. entpacken: tar -xzf chkrootkit.tar.gz
  6. ins entpackte Verzeichnis wechseln: cd chkrootkit-0.47
  7. Programm compilieren: sudo make sense

Danach kann man mit sudo ./chkrootkit sein System scannen.

rkhunter-Installation

  1. ins ~/bin-Verzeichnis wechseln (wenn nicht vorhanden mit cd && mkdir bin erstellen)
  2. wget http://ovh.dl.sourceforge.net/sourceforge/rkhunter/rkhunter-1.2.9.tar.gz (oder die jeweils aktuellste Version von den SourceForge-Seiten runterladen)
  3. tar -xzf rkhunter-1.2.9.tar.gz
  4. cd rkhunter-1.2.9
  5. sudo ./installer.sh

Der erste Scan kann dann mit sudo rkhunter -c -sk ausgeführt werden. Die Signaturen von rkhunter lassen sich per sudo rkhunter --update aktualisieren.

Eigene Binaries benutzen

Beide Programme haben die Option, dass sie eigene Binaries verwenden können. So kann man sicherstellen, dass die Rootkit-Scanner nur unkompromittierte Versionen der Binaries benutzen. Die von chkrootkit verwendeten Binaries z.B. stehen in der FAQ:

awk, cut, echo, egrep, find, head, id, ls, netstat, ps, strings, sed, uname

Man findet diese Binaries entweder unter /bin oder /usr/bin. Diese Dateien können von der Live-CD oder einem anderen als „sauber“ eingestuften Rechner kopiert und am besten auf CD-ROM gebrannt werden. Ein

sudo ./chkrootkit -p /media/cdrom0/bin

weist chkrootkit an, die Binaries auf der CD-ROM zu verwenden, anstelle der auf dem zu untersuchenden System.