Home / LinuxUser / 2009 / 03 / Alarmstufe Root

Newsletter abonnieren

Lies uns auf...

Folge LinuxCommunity auf Twitter

Top-Beiträge

Eingedost
(161 Punkte bei 4 Stimmen)
Aufteiler
(161 Punkte bei 4 Stimmen)

Heftarchiv

LinuxUser Heftarchiv

EasyLinux Heftarchiv

Ubuntu User Heftarchiv

Ubuntu User Heftarchiv

Partner-Links:

Das B2B Portal www.Linx.de informiert über Produkte und Dienstleistungen.

Alarmstufe Root

Rootkits effektiv aufspüren

Scanner in Aktion

Die beiden Rootkit-Scanner Chkrootkit und Rkhunter benötigen für ihre Arbeit zwingend administrative Rechte, ein normaler Benutzer darf sie nicht starten. Chkrootkit aktivieren Sie durch den Aufruf chkrootkit. Die Manpage des Programms verweist auf erfreulich wenige Startparameter, die Software arbeitet beim Start zügig ihre Tabelle bekannter Rootkits, Befehle und Dämonen ab (Abbildung 1).

Abbildung 1

Abbildung 1: Schnell und effizient durchsucht Chkrootkit das System nach blinden Passagieren.

Im Falle von Alarmmeldungen ziehen Sie am besten zunächst die Datei README.FALSE-POSITIVES im Verzeichnis /usr/share/doc/chkrootkit zu Rat: Aufgrund der komplexen Wirkungsweise von Rootkits kann es nämlich vorkommen, dass der Scanner versehentlich Fehlalarm auslöst. Das passiert besonders gern bei versteckten Dateien, falls sich Überschneidungen in der Nomenklatur mit harmlosen Programmdateien ergeben.

Im Zweifelsfall sollten Sie eine Gegenprobe mit Rkhunter machen. Den einfachsten und zugleich umfassendsten Prüflauf erzielen Sie mit dem Befehl rkhunter -c: Dabei überprüft der Scanner das gesamte System interaktiv, wobei Sie regelmäßig durch Drücken der Eingabetaste die Prüfung fortsetzen müssen (Abbildung 2). Auch hier kann es zu Fehlalarmen kommen. Warnungen prüfen Sie schnell und effizient, indem Sie die Protokolldatei rkhunter.log im Verzeichnis /var/log (Abbildung 3) näher in Augenschein nehmen.

Abbildung 2

Abbildung 2: Hier besteht laut Rkhunter Erklärungsbedarf.

Abbildung 3

Abbildung 3: Über die Protokolldatei rkhunter.log lassen sich Warnungen schnell prüfen.

Nach Abschluss der Tests mit Chkrootkit und Rkhunter empfiehlt sich im Bedarfsfall noch der Einsatz von Unhide, um Sicherheit über versteckte Prozesse und verschleierte Netzwerkverbindungen in Gestalt offener Ports zu erhalten. Dazu rufen Sie Unhide im Terminal mit einer der Optionen proc, sys oder brute auf. Findet Unhide dabei Unstimmigkeiten, so empfiehlt sich zunächst ein Blick in das Unterverzeichnis /usr/share/doc/unhide, wo verschiedene Dateien auf problematische Fehlalarme hinweisen. Ansonsten verrichtet Unhide seine Arbeit völlig unspektakulär.

Vollautomatik

Um die auf Dauer lästigen manuellen Tests nicht ständig händisch aufrufen zu müssen, haben die Programmierer der beiden Rootkit-Scanner bereits kleine Shellskripte geschrieben, die Sie als täglich auszuführende Cron-Jobs einbinden können. Dabei kommt Rkhunter in einem nicht interaktiven Modus zum Einsatz, der die Ausgabe auf Warnungen beschränkt, um die Meldungen übersichtlich zu halten. Die entsprechenden Mitteilungen finden sich nach einem Durchlauf in der Datei /var/log/rkhunter.log, Sie können sie sich aber auch per E-Mail zustellen lassen.

Bei Chkrootkit blockiert ein Fehler in der Konfigurationsdatei den automatischer Prüflauf, der erst nach einer kleinen Modifikation gelingt: In der Datei /etc/chkrootkit.conf ändern Sie die erste Zeile RUN_DAILY="false" in RUN_DAILY="true". Nach dieser Anpassung verrichtet auch Chkrootkit seine Arbeit still im Hintergrund, ohne die Systemperformance merklich zu beeinträchtigen.

Tip a friend    Druckansicht Bookmark and Share
Kommentare

Hits
Wertung: 139 Punkte (3 Stimmen)

Schlecht Gut

Infos zur Publikation

Infos zur Publikation

LinuxUser 05/2014

Aktuelle Ausgabe kaufen:

Heft als PDF kaufen

LinuxUser erscheint monatlich und kostet in der Nomedia-Ausgabe EUR 5,95 und mit DVD EUR 8,50. Weitere Informationen zum Heft finden Sie auf der LinuxUser-Homepage.

Im LinuxUser-Probeabo erhalten Sie drei Ausgaben für 3 Euro. Das Jahresabo (ab EUR 60,60) können Sie im Medialinx-Shop bestellen.

Tipp der Woche

Bilder vergleichen mit diffimg
Bilder vergleichen mit diffimg
Tim Schürmann, 01.04.2014 12:40, 1 Kommentare

Das kleine Werkzeug diffimg kann zwei (scheinbar) identische Bilder miteinander vergleichen und die Unterschiede optisch hervorheben. Damit lassen sich nicht nur Rätsel a la „Orignial und Fäls...

Aktuelle Fragen

programm suche
Hans-Joachim Köpke, 13.04.2014 10:43, 8 Antworten
suche noch programme die zu windows gibt, die auch unter linux laufen bzw sich ähneln sozusagen a...
Funknetz (Web-Stick)
Hans-Joachim Köpke, 04.04.2014 07:31, 2 Antworten
Bei Windows7 brauche ich den Stick nur ins USB-Fach schieben dann erkennt Windows7 Automatisch, a...
Ubuntu 13.10 überschreibt immer Windows 8 Bootmanager
Thomas Weiss, 15.03.2014 19:20, 8 Antworten
Hallo Leute, ich hoffe das ich richtig bin. Ich habe einen Dell Insipron 660 Ich möchte gerne Ub...
USB-PTP-Class Kamera wird nicht erkannt (Windows-only)
Wimpy *, 14.03.2014 13:04, 15 Antworten
ich habe meiner Frau eine Digitalkamera, AGFA Optima 103, gekauft und wir sind sehr zufrieden dam...
Treiber
Michael Kristahn, 12.03.2014 08:28, 5 Antworten
Habe mir ein Scanner gebraucht gekauft von Canon CanoScan LiDE 70 kein Treiber wie bekomme ich de...