rkhunter und chkrootkit – Rootkit-Jäger unter Linux

by robertgoedl
on September 11, 2023

Normale Desktop-Benutzer werden sich unter Linux kaum vor Rootkits fürchten müssen – diese sind zwar unter Linux entstanden, so gesehen eine Linux-Entwicklung, aber zu Hause sind diese unter Windows. Linux-Desktop-Benutzer sind einfach zu wenig lohnende Ziele, sie haben zu unterschiedliche Distributionen, um einen Rootkit so einfach wie unter Windows zu installieren. Auf einem Linux-Server ist dies natürlich schon um vieles anders – meist sind diese dauerhaft mit dem Internet verbunden und es gibt nicht so viele unterschiedliche Server-Distributionen. Auf einem Linux-Server sollte man also schon etwas mehr auf die Sicherheit achten.

Um unter Linux nach Rootkits zu suchen, nutzt man am besten die beiden Anwendungen „Chkrootkit“ und „Rkhunter„.

Chkrootkit und RKhunter installieren


Unter auf Debian basierenden Linux-Distributionen installieren Sie diese beiden Anwendungen am einfachsten über die Paket-Verwaltung durch die Pakete „chkrootkit“ und „rkhunter„.

Rkhunter nutzen

Beide Anwendungen werden mit administrativen Rechten am Terminal genutzt, so natürlich auch Rkhunter – nach der Installation gehen wir erst einmal auf die Konfiguration der Software ein, wir nutzen hier entweder den einfach zu nutzenden Editor Nano oder den erweiterten Vi oder Vim:

nano /etc/rkhunter.conf
vi /etc/rkhunter.conf
vim /etc/rkhunter.conf

Hier finden wir unter anderem die Zeile:

#Language=en

Entfernen Sie vor der Zeile das Doppelkreuz und ersetzen „en“ durch „de„, spricht Rkhunter Deutsch:

Language=de

Dies können wir auch in folgender Zeile tun – es wird aus:

UPDATE_LANG="en"

folgende Zeile:

UPDATE_LANG="de"

Ersetzen wir:

#APPEND_LOG=0

durch:

APPEND_LOG=1

speichert Rkhunter auch seinen Log. Tun wir dasselbe bei:

#PKGMR=NONE

Und ersetzen dies durch:

PKGMGR=DPKG

überprüft Rkhunter auch die DEB-Paket-Hashes. Sie finden noch viele weitere Einstellungen, alle sind sehr gut verständlich beschrieben. Haben wir die Konfiguration gespeichert, erstellen wir erst einmal die Datenbank:

rkhunter --propupd

Dieser Befehl dient auch zum Aktualisieren der Rootkit-Signaturen. Anschließend können Sie einen Suchlauf starten:

rkhunter -c

Die Software durchsucht jetzt das System nach Rootkits, bricht zwischendurch ab, um Ihnen Zwischenergebnisse zu liefern:

Mit Eingabe fahren Sie fort. Warnungen sind rot gekennzeichnet:

Dies sind jedoch nur Warnungen – Rkhunter zeigt etwa auch eine veränderte „/etc/passwd“ – dies kann auch durch ein Updates des Systems geschehen. Zuletzt zeigt die Software eine Übersicht.

Chkrootkit nutzen

Es ist immer besser zwei Anwendungen zu nutzen, in diesem Fall nutzen wir hier Chkrootkit. Sie starten Sie Software mit dem Befehl:

chkrootkit


Erstveröffentlichung: So 14. Mai 2023, 07:36

Gefällt mir 1
Gefällt mir nicht

Categories:

Sicherheit

Tags:

No Tag

Schreibe einen Kommentar

Noch keine Reaktion

Neue Themen im Forum
24.4.1 gestopptvon linuxopaupdaten / upgraden, bis nix mehr geht - dann Debian xfce 1. Ver … Weiterlesenvor 20 Stunden, 2 Antworten
Statistik August 2024von LinuxBiberDie Entwicklung im WIKI im August 2024 Insgesamt sind 15 neue Bei … Weiterlesenvor 4 Tagen
Statistik Juli 2024von LinuxBiberDie Entwicklung im WIKI im Juli 2024 Insgesamt sind 14 neue Beitr … Weiterlesenvor 4 Tagen
Kategorien im Wiki
WIKI-Beiträge des Monates

Die Beiträge des Monates finden Sie im Kalender unter den blau markierten Tageszahlen.

September 2023
M D M D F S S
 123
45678910
11121314151617
18192021222324
252627282930  
Archive