Sauber bleiben

Fortpflanzung und Tarnung

In der Regel enthält Malware Programmcode zur Arterhaltung. Computerviren nehmen ihre Kollegen im menschlichen Körper zum Vorbild und befallen andere Programme, indem sie dort schädlichen Code einschleusen. Das gelingt unter Ubuntu nicht gut, vorausgesetzt, Sie schwächen die voreingestellten Berechtigungen nicht künstlich und starten möglichst wenig Aktivitäten mit Superuser-Rechten. Gerade der Einsatz von sudo, der dafür sorgt, dass Sie nur einzelne Kommandos mit erweiterten Rechten ausführen, gilt unter Experten als vorbildlich.

Viren verbreiten sich nach der klassischen Definition nur innerhalb eines einzelnen Rechners. Greifen sie über das Netz andere Systeme an, sprechen Malware-Jäger von Würmern (Abbildung 2). Einer der ersten legte bereits in den 1980er Jahren den Großteil des damals – allerdings noch viel kleineren – Internet für einige Tage lahm [4]. Heute sind Botnets weitgehend in die Fußstapfen von Würmern getreten und suchen ihrerseits nach neuen, verwundbaren Opfern.

Abbildung 2: Die Software Rkhunter schaut nicht nur nach Rootkits, sondern durchforstet das System auch nach bekannten Würmern.

Um im fremden Organismus zu bestehen, strebt Schadsoftware aber nicht nur danach, sich zu vervielfältigen, sondern tarnt sich auch auf bereits infizierten Systemen, um nicht erkannt und gelöscht zu werden. Dies ist die Hauptaufgabe von Rootkits, einer Art Werkzeugkiste, die verschiedene virale Komponenten zu einem Kit zusammenfasst.

Symptome erkennen

Schadsoftware hat einen Auftrag. Sie muss in den Rechner eindringen, diesen zu ihrem Wohle verändern und die Beute nach Hause schicken. Diese Aktivität hinterlässt jedoch Spuren. Halten Sie etwa in einer Datenbank mit Prüfsummen fest, welche Dateien Sie auf Ihrem Computer installiert haben, kommen Sie Veränderungen schnell auf die Schliche. Dafür eignen sich Programme wie Tripwire, Aide, Systraq oder Stealth. Tripwire und Systraq überwachen wichtige Systemdateien und teilen Änderungen auf Wunsch per E-Mail mit.

Manche Malware prüft jedoch erst einmal, welche Tools Sie installiert haben und reagiert entsprechend, bevor sie aktiv wird. Daher gibt es Tools wie Stealth, die von einem zweiten Rechner aus das System überprüfen. Dazu verwendet es Standardtools wie ssh, find und md5sum und tarnt ihrerseits den Check.

Tripwire [5] und Aide [6] sind komplexe Werkzeuge, für die Sie einige Einarbeitungszeit brauchen. Für den Anfang genügen das einfacher zu steuernde Systraq [7] oder Stealth [8]. Diese Tools sind zwar nicht ganz so mächtig, geben aber in vielen Fällen erste Hinweise auf einen Einbruch. Die zweite Möglichkeit ist eine laufende Überwachung von bestimmten Aktivitäten, wie der Prozessorlast, der Netzwerknutzung und der Schreib- und Lesezugriffe auf die Speichermedien. Schnellt die Last unerwartet in die Höhe, lohnt ein Blick auf die gerade laufenden Aktivitäten.

Bei der Prozessanalyse leistet Monit [9] gute Arbeit. Das Tool überwacht nicht nur die Auslastungen von Prozessor, Netzwerk und Speicher, es alarmiert auch, wenn Programme von selbst neu starten. Daemons laden die Distributionen gewöhnlich nur beim Systemstart, aber nicht im laufenden Betrieb.

Netzwerkaktivitäten sind oft ein wichtiger Hinweis auf einen ungebetenen Gast auf dem Rechner. Netspeed ist ein Monitor für das Gnome-Panel und zeigt schlicht an, ob die Netzwerkkarte aktiv ist [10]. Tiefer ins Detail geht Wireshark [11]. Das Profiwerkzeug zeigt sehr viele Daten an, die Sie erst nach eingehender Beschäftigung richtig interpretieren können. Aber auch als Einsteiger ohne tiefergehende Kenntnisse von Netzwerkprotokollen nützen Ihnen die Informationen darüber, wohin ein Prozess Daten sendet. Mittels whois finden Sie dann nämlich heraus, wem das Zielsystem gehört.

Um aktive Netzverbindungen zu entdecken, rufen Sie netstat -tuna auf (Abbildung 3). Die Option n unterdrückt die Namensauflösung, da gerade das bei suspekten Verbindungen nicht gelingt und unnötig Zeit kostet. Gute Dienste leistet auch das einfache Netzwerktool Iptraf [12]. Es stellt die Verbindungen dar und löst auf Wunsch auch Hostnamen auf.

Abbildung 3: Alles ruhig: Netstat zeigt keine ungewöhnlichen Verbindungen. Ein "whois" verrät, dass die einzige fremde IP-Adresse zu Canonical gehört.