Scanner in Aktion

Die beiden Rootkit-Scanner Chkrootkit und Rkhunter benötigen für ihre Arbeit zwingend administrative Rechte, ein normaler Benutzer darf sie nicht starten. Chkrootkit aktivieren Sie durch den Aufruf chkrootkit. Die Manpage des Programms verweist auf erfreulich wenige Startparameter, die Software arbeitet beim Start zügig ihre Tabelle bekannter Rootkits, Befehle und Dämonen ab (Abbildung 1).

Abbildung 1: Schnell und effizient durchsucht Chkrootkit das System nach blinden Passagieren.

Im Falle von Alarmmeldungen ziehen Sie am besten zunächst die Datei README.FALSE-POSITIVES im Verzeichnis /usr/share/doc/chkrootkit zu Rat: Aufgrund der komplexen Wirkungsweise von Rootkits kann es nämlich vorkommen, dass der Scanner versehentlich Fehlalarm auslöst. Das passiert besonders gern bei versteckten Dateien, falls sich Überschneidungen in der Nomenklatur mit harmlosen Programmdateien ergeben.

Im Zweifelsfall sollten Sie eine Gegenprobe mit Rkhunter machen. Den einfachsten und zugleich umfassendsten Prüflauf erzielen Sie mit dem Befehl rkhunter -c: Dabei überprüft der Scanner das gesamte System interaktiv, wobei Sie regelmäßig durch Drücken der Eingabetaste die Prüfung fortsetzen müssen (Abbildung 2). Auch hier kann es zu Fehlalarmen kommen. Warnungen prüfen Sie schnell und effizient, indem Sie die Protokolldatei rkhunter.log im Verzeichnis /var/log (Abbildung 3) näher in Augenschein nehmen.

Abbildung 2: Hier besteht laut Rkhunter Erklärungsbedarf.
Abbildung 3: Über die Protokolldatei rkhunter.log lassen sich Warnungen schnell prüfen.

Nach Abschluss der Tests mit Chkrootkit und Rkhunter empfiehlt sich im Bedarfsfall noch der Einsatz von Unhide, um Sicherheit über versteckte Prozesse und verschleierte Netzwerkverbindungen in Gestalt offener Ports zu erhalten. Dazu rufen Sie Unhide im Terminal mit einer der Optionen proc, sys oder brute auf. Findet Unhide dabei Unstimmigkeiten, so empfiehlt sich zunächst ein Blick in das Unterverzeichnis /usr/share/doc/unhide, wo verschiedene Dateien auf problematische Fehlalarme hinweisen. Ansonsten verrichtet Unhide seine Arbeit völlig unspektakulär.

Vollautomatik

Um die auf Dauer lästigen manuellen Tests nicht ständig händisch aufrufen zu müssen, haben die Programmierer der beiden Rootkit-Scanner bereits kleine Shellskripte geschrieben, die Sie als täglich auszuführende Cron-Jobs einbinden können. Dabei kommt Rkhunter in einem nicht interaktiven Modus zum Einsatz, der die Ausgabe auf Warnungen beschränkt, um die Meldungen übersichtlich zu halten. Die entsprechenden Mitteilungen finden sich nach einem Durchlauf in der Datei /var/log/rkhunter.log, Sie können sie sich aber auch per E-Mail zustellen lassen.

Bei Chkrootkit blockiert ein Fehler in der Konfigurationsdatei den automatischer Prüflauf, der erst nach einer kleinen Modifikation gelingt: In der Datei /etc/chkrootkit.conf ändern Sie die erste Zeile RUN_DAILY="false" in RUN_DAILY="true". Nach dieser Anpassung verrichtet auch Chkrootkit seine Arbeit still im Hintergrund, ohne die Systemperformance merklich zu beeinträchtigen.

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 

Ähnliche Artikel

Kommentare

Infos zur Publikation

LU 05/2015: Daten visualisieren

Digitale Ausgabe: Preis € 4,95
(inkl. 19% MwSt.)

Mit der Zeitschrift LinuxUser sind Sie als Power-User, Shell-Guru oder Administrator im kleinen Unternehmen monatlich auf dem aktuelle Stand in Sachen Linux und Open Source.

Sie sind sich nicht sicher, ob die Themen Ihnen liegen? Im Probeabo erhalten Sie drei Ausgaben zum reduzierten Preis. Einzelhefte, Abonnements sowie digitale Ausgaben erwerben Sie ganz einfach in unserem Online-Shop.

NEU: DIGITALE AUSGABEN FÜR TABLET & SMARTPHONE

HINWEIS ZU PAYPAL: Die Zahlung ist auch ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!       

Tipp der Woche

Ubuntu 14.10 und VirtualBox
Ubuntu 14.10 und VirtualBox
Tim Schürmann, 08.11.2014 18:45, 4 Kommentare

Wer Ubuntu 14.10 in einer virtuellen Maschine unter VirtualBox startet, der landet unter Umständen in einem Fenster mit Grafikmüll. Zu einem korrekt ...

Aktuelle Fragen

Admin Probleme mit Q4os
Thomas Weiss, 30.03.2015 20:27, 6 Antworten
Hallo Leute, ich habe zwei Fragen zu Q4os. Die Installation auf meinem Dell Latitude D600 verl...
eeepc 1005HA externer sound Ausgang geht nicht
Dieter Drewanz, 18.03.2015 15:00, 1 Antworten
Hallo LC, nach dem Update () funktioniert unter KDE der externe Soundausgang an der Klinkenbuc...
AceCad DigiMemo A 402
Dr. Ulrich Andree, 15.03.2015 17:38, 2 Antworten
Moin zusammen, ich habe mir den elektronischen Notizblock "AceCad DigiMemo A 402" zugelegt und m...
Start-Job behindert Bootvorgang, Suse 13.2, KDE,
Wimpy *, 20.02.2015 10:32, 4 Antworten
Beim Bootvorgang ist ein Timeout von 1 Min 30 Sec. weil eine Partition sdb1 gesucht und nicht gef...
Konfiguration RAID 1 mit 2 SSDs: Performance?
Markus Mertens, 16.02.2015 10:02, 6 Antworten
Hallo! Ich möchte bei einer Workstation (2x Xeon E5-2687Wv3, 256GB RAM) 2 SATA-SSDs (512GB) al...