Aufspüren von rootkits mit Rootkit Hunter
von magian
Das Internet kann ein wilder und gefährlicher Platz sein. Als Linuxbenutzer bleiben uns im Allgemeinen die schlimmsten Viren- und Malware Plagen erspart, aber zu viel Vertrauen kann ein falsches Sicherheitsgefühl vorgaukeln. Denn auch in Linux kann ein rootkit installiert werden.
Was bitte ist ein rootkit fragen Sie?
„Ein rootkit ist eine Ansammlung von Software Anwendungen, die laufende Prozesse, Dateien oder Systemdaten verbergen sollen und damit einem Eindringling helfen, Zugang zu einem System zu erhalten ohne dabei entdeckt zu werden. Rootkits gibt es für eine Vielzahl von Betriebssystemen wie Linux, Solaris und x86-Versionen von Microsoft Windows. Rootkits ändern häufig Teile des Betriebssystems oder installieren sich selbst als Treiber oder Kernmodule“.
Auszug von http://en.wikipedia.org/wiki/Rootkits
Glücklicherweise gibt es für uns ein großartiges Werkzeug zum Aufspüren dieser schändlichen Eindringlinge auf Ihrem System. Es heißt Rootkit Hunter und wurde vom Entwickler Michael Boelen erstellt. Einige der auffallenderen Eigenschaften von Rootkit Hunter sind die folgenden:
- Vergleich der MD5 Hash Summe
- Suche nach von rootkits verwendeten Dateien
- Suche nach falschen Dateirechten von Binärdateien
- Suche nach verdächtigen Strings in LKM und KLD Modulen
- Suche nach versteckten Dateien
- Optionales Durchsuchen innerhalb von Klartext und Binärdateien
- Das Projekt Rootkit Hunter ist GPL lizensiert und jeder kann es verwenden.
Ich zeige Ihnen nun, wie man Rootkit Hunter von den PCLOS Repositories installiert, es aktualisiert und eine komplette Überprüfung Ihres Systems laufen lässt. Diese Tätigkeiten müssen als root erfolgen.
apt-get findet und installiert Rootkit Hunter so: apt-get install rkhunter.
Dann aktualisieren wir das Programm mit rkhunter --update.
Rootkit Hunter lädt die Updates herunter und installiert sie.
Dann lassen wir einen kompletten Scan laufen mit rkhunter --checkall.
Rootkit Hunter führt eine Serie von Systemtests durch und gibt Ihnen währenddessen Informationen. Sobald er fertig ist, erhalten Sie eine Zusammenfassung der Scan-Resultate, in etwa so:
Sie können rkhunter ohne Argumente laufen lassen, um eine komplette Liste von Optionen zu sehen. Rootkit Hunter kann in Shell-Skripts eingeschlossen werden und als cronjob laufen. Jetzt haben Sie einen weiteren Grund, sich sicherer und überlegener zu fühlen als Ihre armen Brüder aus der Microsoft Windows Welt.
Rootkit Hunter - http://www.rootkit.nl/