staging.inyokaproject.org

chkrootkit

Dieser Artikel wurde für die folgenden Ubuntu-Versionen getestet:

Dieser Artikel ist mit keiner aktuell unterstützten Ubuntu-Version getestet! Bitte teste diesen Artikel für eine Ubuntu-Version, welche aktuell unterstützt wird. Dazu sind die Hinweise zum Testen von Artikeln zu beachten.

Zum Verständnis dieses Artikels sind folgende Seiten hilfreich:

Chkrootkit 🇬🇧 bietet eine Möglichkeit, Linuxsysteme auf Anzeichen eines Einbruchs zu untersuchen.

Installation

Folgendes Paket ist zu installieren [1]:

  • chkrootkit

Befehl zum Installieren der Pakete:

sudo apt-get install chkrootkit  

Oder mit apturl installieren, Link: apt://chkrootkit

Benutzung

Aufgerufen wird der Rootkit-Scanner im Terminal [2] mit

sudo chkrootkit 

in der Kommandozeile.

Mehr Informationen und Optionen findet man in der Manpage des Programms aufgerufen werden kann.

Achtung!

Alleine durch die Benutzung von chkrootkit kann nicht garantiert werden, dass sich nicht doch ein Rootkit auf dem System befindet. Die Anwendung von nur einem einzigen Tool ist nicht sehr effektiv, da ein Rootkit-Autor sein Rootkit dagegen immun gemacht haben könnte. Es sollten immer noch weitere Tests durchgeführt werden, wie zum Beispiel mit rkhunter bzw. andere Maßnahmen vorgenommen werden. Des Weiteren sollte chkrootkit, um dessen Integrität und damit die Verlässlichkeit sicherzustellen, immer von einem 100%ig nicht kompromittierten System ausgeführt werden, wie z.B. einer Live-CD.

Automatische Tests per Cron-Job

Gerade bei Servern ist es nicht immer möglich, von einer Live-CD zu booten und dann nach Rootkits zu fahnden. Hierfür haben die Programmierer die Möglichkeit geschaffen, chkrootkit als Cron-Job auszuführen.

Es gibt allerdings einen kleinen Fehler in /etc/chkrootkit.conf. Hier muss die Zeile RUN_DAILY="false" auf RUN_DAILY="true" geändert werden.

Nun kann man chkrootkit als Cron-Job einplanen, z.B. direkt in /etc/crontab mit der Zeile

0 3     * * *   root    (cd /usr/sbin; ./chkrootkit 2>&1 | mail -s "chkrootkit output" xxx@xxx.xxx)

Dadurch wird man bei Warnungen komfortabel per E-Mail benachrichtigt.

Man kann natürlich auch das mitgelieferte Skript in /etc/cron.daily benutzen, das für die Artikelerstellung leider nicht getestet wurde

Außerdem ist es sinnvoll, einen weiteren Scanner wie rkhunter regelmäßig einzuplanen.

Diese Revision wurde am 2. Mai 2021 11:51 von noisefloor erstellt.
Die folgenden Schlagworte wurden dem Artikel zugewiesen: Sicherheit, ungetestet