12. November 2019

Rkhunter & Chkrootkit – Rootkit-Jäger unter Linux

Informationen

Man hört immer wieder das es unter Linux keine Schadsoftware gibt, in Dingen klassischer Virus wie man ihn unter Windows kennt ist dies auch der Fall – aber gerade Rootkits, eine der gefährlichsten Arten von Schadsoftware wurden geradezu unter Linux erfunden und es gibt sie unter Linux auch heute noch.

Aber ganz ehrlich gesagt – solche finden sich eher auf einem Server, also Systeme die dauerhaft im Internet sind, auf die viele Nutzer täglich zugreifen. Solche werden auch nicht einfach so installiert, der Angreifer muss sich über eine Sicherheitslücke in das System ein hacken, sich dort root-Rechte verschaffen, den Rootkit dort so platzieren das man ihn auch nicht findet. Dies kann nicht jeder. Und zumeist sind solche befallene Systeme einfach veraltet, schlecht gewartet und werden nicht aktualisiert – leider gibt es davon sehr viele. Manche mieten sich einfach einen root-Server und denken der Provider wird es schon richten – ist aber nicht so.

Als normaler Linux-Nutzer wird und braucht man sich auch nicht sonderlich für solche Dinge interessieren, solche Systeme sind für Hacker eher uninteressant da der Aufwand einfach zu groß ist in ein solches System einzudringen. Also ist dieser Artikel eher für Server-Administratoren interessant.

Rkhunter installieren

Unter auf Debian basierenden Systemen wie Ubuntu, Kubuntu, Linux Mint und so weiter installieren Sie diese Software ganz einfach über die Paket-Verwaltung durch das Paket “rkhunter“.

Rkhunter nutzen

Die Software wird ausschließlich vom Administrator auf dem Terminal genutzt. Als erstes sollte man die Software an seine Bedürfnisse anpassen, dazu dient die Datei “/etc/rkhunter.conf” die man etwa am Terminal mit Nano bearbeitet. Das wichtigste wäre hier wohl die Zeile:

# LANGUAGE=en

die man auf seine Sprache stellt, also für deutsch einfach:

LANGUAGE=de

Weitere verfügbare Sprachen wären englisch, chinesisch, japanisch und türkisch. Die restlichen Einstellungen sind sehr gut beschrieben.

Das erste was man nun nach der Installation tut ist sich eine Datenbank anzulegen, dies geschieht mit dem Befehl:

rkhunter --propupd

Mit dem Befehl:

rkhunter -c

startet man nun einen ausführlichen Test, ist ein Teil des Tests abgeschlossen bittet die Software um eine Bestätigung mit der Eingabe-Taste:

Rkhunter – Rootkits unter Linux suchen

Ist der Test abgeschlossen präsentiert die Software eine kurze Auswertung, ein ausführliches Ergebnis findet sich in der Log-Datei der Software “/var/log/rkhunter.log” die Sie einfach mit Less nur mit administrativen Rechten öffnen können, etwa am Terminal:

less /var/log/rkhunter.log

Wichtige Meldungen finden sich vor allem am Ende der Datei als Zusammenfassung, wenn etwas Ihre Aufmerksamkeit erregt sollte man dann im Internet recherchieren.

Chkrootkit installieren

Keine Software ist fehlerfrei, auch darum finden sich gleich zwei Anwendungen dieser Art unter Debian, gerade bei Meldungen die Sie nachdenklich machen sollten Sie nun eine zweite wie etwa Chkrootkit nutzen. Unter auf Debian basierenden Systemen installieren Sie diese ganz einfach über die Paket-Verwaltung durch das Paket “chkrootkit“.

Chkrootkit nutzen

Wie Rkhunter wird auch diese Software nur vom Administrator auf dem Terminal genutzt:

chkrootkit
Chkrootkit – Rootkits unter Linux suchen

Auch hier gibt die Software ausführliche Meldungen aus, bei Warnungen sollten Sie nicht gleich überreagieren sondern im Internet nach den Ausgaben suchen. Achten Sie auf Veränderungen im System wie etwa hohen Upload in das Internet, ein auf einem Mal träges System, haben Sie vor kurzem neue Software installiert die nicht aus den Repositorys stammt, …

51 total views, 5 views today

Avatar

Robert Goedl

Linux-User seit dem Jahr 2000, Debian ist die von mir genutzte Distribution (Sid Unstable) Lebe in Graz, der Hauptstadt der Steiermark in Österreich

Alle Beiträge ansehen von Robert Goedl →

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.