{"id":3196,"date":"2023-09-11T12:47:54","date_gmt":"2023-09-11T10:47:54","guid":{"rendered":"https:\/\/linux-bibel.at\/?p=3196"},"modified":"2023-09-11T12:49:45","modified_gmt":"2023-09-11T10:49:45","slug":"rkhunter-und-chkrootkit-rootkit-jaeger-unter-linux","status":"publish","type":"post","link":"https:\/\/linux-bibel.at\/index.php\/2023\/09\/11\/rkhunter-und-chkrootkit-rootkit-jaeger-unter-linux\/","title":{"rendered":"rkhunter und chkrootkit &#8211; Rootkit-J\u00e4ger unter Linux"},"content":{"rendered":"\n<p class=\"wp-block-paragraph\">Normale Desktop-Benutzer werden sich unter Linux kaum vor Rootkits f\u00fcrchten m\u00fcssen &#8211; diese sind zwar unter Linux entstanden, so gesehen eine Linux-Entwicklung, aber zu Hause sind diese unter Windows. Linux-Desktop-Benutzer sind einfach zu wenig lohnende Ziele, sie haben zu unterschiedliche Distributionen, um einen Rootkit so einfach wie unter Windows zu installieren. Auf einem Linux-Server ist dies nat\u00fcrlich schon um vieles anders &#8211; meist sind diese dauerhaft mit dem Internet verbunden und es gibt nicht so viele unterschiedliche Server-Distributionen. Auf einem Linux-Server sollte man also schon etwas mehr auf die Sicherheit achten.<br><br>Um unter Linux nach Rootkits zu suchen, nutzt man am besten die beiden Anwendungen &#8222;<strong>Chkrootkit<\/strong>&#8220; und &#8222;<strong>Rkhunter<\/strong>&#8222;.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Chkrootkit und RKhunter installieren<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\"><br>Unter auf Debian basierenden Linux-Distributionen installieren Sie diese beiden Anwendungen am einfachsten \u00fcber die <a rel=\"noreferrer noopener\" href=\"https:\/\/www.linux-bibel-oesterreich.at\/viewtopic.php?t=10\" target=\"_blank\">Paket-Verwaltung<\/a> durch die Pakete &#8222;<strong>chkrootkit<\/strong>&#8220; und &#8222;<strong>rkhunter<\/strong>&#8222;.<br><br>Rkhunter nutzen<br><br>Beide Anwendungen werden mit <a rel=\"noreferrer noopener\" href=\"https:\/\/www.linux-bibel-oesterreich.at\/viewtopic.php?t=366\" target=\"_blank\">administrativen<\/a> Rechten am <a rel=\"noreferrer noopener\" href=\"https:\/\/www.linux-bibel-oesterreich.at\/viewtopic.php?t=3\" target=\"_blank\">Terminal<\/a> genutzt, so nat\u00fcrlich auch Rkhunter &#8211; nach der Installation gehen wir erst einmal auf die Konfiguration der Software ein, wir nutzen hier entweder den einfach zu nutzenden Editor Nano oder den erweiterten Vi oder Vim:<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>nano \/etc\/rkhunter.conf\nvi \/etc\/rkhunter.conf\nvim \/etc\/rkhunter.conf<\/code><\/pre>\n\n\n\n<p class=\"wp-block-paragraph\">Hier finden wir unter anderem die Zeile:<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>#Language=en<\/code><\/pre>\n\n\n\n<p class=\"wp-block-paragraph\">Entfernen Sie vor der Zeile das Doppelkreuz und ersetzen &#8222;<strong>en<\/strong>&#8220; durch &#8222;<strong>de<\/strong>&#8222;, spricht Rkhunter Deutsch:<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>Language=de<\/code><\/pre>\n\n\n\n<p class=\"wp-block-paragraph\">Dies k\u00f6nnen wir auch in folgender Zeile tun &#8211; es wird aus:<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>UPDATE_LANG=\"en\"<\/code><\/pre>\n\n\n\n<p class=\"wp-block-paragraph\">folgende Zeile:<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>UPDATE_LANG=\"de\"<\/code><\/pre>\n\n\n\n<p class=\"wp-block-paragraph\">Ersetzen wir:<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>#APPEND_LOG=0<\/code><\/pre>\n\n\n\n<p class=\"wp-block-paragraph\">durch:<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>APPEND_LOG=1<\/code><\/pre>\n\n\n\n<p class=\"wp-block-paragraph\">speichert Rkhunter auch seinen Log. Tun wir dasselbe bei:<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>#PKGMR=NONE<\/code><\/pre>\n\n\n\n<p class=\"wp-block-paragraph\">Und ersetzen dies durch:<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>PKGMGR=DPKG<\/code><\/pre>\n\n\n\n<p class=\"wp-block-paragraph\">\u00fcberpr\u00fcft Rkhunter auch die DEB-Paket-Hashes. Sie finden noch viele weitere Einstellungen, alle sind sehr gut verst\u00e4ndlich beschrieben. Haben wir die Konfiguration gespeichert, erstellen wir erst einmal die Datenbank:<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>rkhunter --propupd<\/code><\/pre>\n\n\n\n<p class=\"wp-block-paragraph\">Dieser Befehl dient auch zum Aktualisieren der Rootkit-Signaturen. Anschlie\u00dfend k\u00f6nnen Sie einen Suchlauf starten:<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>rkhunter -c<\/code><\/pre>\n\n\n\n<p class=\"wp-block-paragraph\">Die Software durchsucht jetzt das System nach Rootkits, bricht zwischendurch ab, um Ihnen Zwischenergebnisse zu liefern:<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"576\" src=\"https:\/\/linux-bibel.at\/wp-content\/uploads\/2023\/09\/rkhunter-01-1024x576.jpeg\" alt=\"\" class=\"wp-image-3200\" srcset=\"https:\/\/linux-bibel.at\/wp-content\/uploads\/2023\/09\/rkhunter-01-1024x576.jpeg 1024w, https:\/\/linux-bibel.at\/wp-content\/uploads\/2023\/09\/rkhunter-01-300x169.jpeg 300w, https:\/\/linux-bibel.at\/wp-content\/uploads\/2023\/09\/rkhunter-01-768x432.jpeg 768w, https:\/\/linux-bibel.at\/wp-content\/uploads\/2023\/09\/rkhunter-01-1536x864.jpeg 1536w, https:\/\/linux-bibel.at\/wp-content\/uploads\/2023\/09\/rkhunter-01.jpeg 1920w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\">Mit <strong>Eingabe<\/strong> fahren Sie fort. Warnungen sind rot gekennzeichnet:<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"576\" src=\"https:\/\/linux-bibel.at\/wp-content\/uploads\/2023\/09\/rkhunter-02-1024x576.jpeg\" alt=\"\" class=\"wp-image-3201\" srcset=\"https:\/\/linux-bibel.at\/wp-content\/uploads\/2023\/09\/rkhunter-02-1024x576.jpeg 1024w, https:\/\/linux-bibel.at\/wp-content\/uploads\/2023\/09\/rkhunter-02-300x169.jpeg 300w, https:\/\/linux-bibel.at\/wp-content\/uploads\/2023\/09\/rkhunter-02-768x432.jpeg 768w, https:\/\/linux-bibel.at\/wp-content\/uploads\/2023\/09\/rkhunter-02-1536x864.jpeg 1536w, https:\/\/linux-bibel.at\/wp-content\/uploads\/2023\/09\/rkhunter-02.jpeg 1920w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\">Dies sind jedoch nur Warnungen &#8211; Rkhunter zeigt etwa auch eine ver\u00e4nderte &#8222;<em>\/etc\/passwd<\/em>&#8220; &#8211; dies kann auch durch ein Updates des Systems geschehen. Zuletzt zeigt die Software eine \u00dcbersicht.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Chkrootkit nutzen<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Es ist immer besser zwei Anwendungen zu nutzen, in diesem Fall nutzen wir hier Chkrootkit. Sie starten Sie Software mit dem Befehl:<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>chkrootkit<\/code><\/pre>\n\n\n\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"576\" src=\"https:\/\/linux-bibel.at\/wp-content\/uploads\/2023\/09\/rkhunter-03-1024x576.jpeg\" alt=\"\" class=\"wp-image-3202\" srcset=\"https:\/\/linux-bibel.at\/wp-content\/uploads\/2023\/09\/rkhunter-03-1024x576.jpeg 1024w, https:\/\/linux-bibel.at\/wp-content\/uploads\/2023\/09\/rkhunter-03-300x169.jpeg 300w, https:\/\/linux-bibel.at\/wp-content\/uploads\/2023\/09\/rkhunter-03-768x432.jpeg 768w, https:\/\/linux-bibel.at\/wp-content\/uploads\/2023\/09\/rkhunter-03-1536x864.jpeg 1536w, https:\/\/linux-bibel.at\/wp-content\/uploads\/2023\/09\/rkhunter-03.jpeg 1920w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\"><br><strong>Erstver\u00f6ffentlichung: So 14. Mai 2023, 07:36<\/strong><\/p>\n<div class=\"pld-like-dislike-wrap pld-custom\">\r\n    <div class=\"pld-like-wrap  pld-common-wrap\">\r\n    <a href=\"javascript:void(0)\" class=\"pld-like-trigger pld-like-dislike-trigger  \" title=\"Gef\u00e4llt mir\" data-post-id=\"3196\" data-trigger-type=\"like\" data-restriction=\"cookie\" data-already-liked=\"0\">\r\n                            <img src=\"https:\/\/linux-bibel.at\/wp-content\/uploads\/2023\/12\/Daumen-Hoch.png\" alt=\"Gef\u00e4llt mir\" \/>\r\n            <\/a>\r\n    <span class=\"pld-like-count-wrap pld-count-wrap\">3    <\/span>\r\n<\/div><div class=\"pld-dislike-wrap  pld-common-wrap\">\r\n    <a href=\"javascript:void(0)\" class=\"pld-dislike-trigger pld-like-dislike-trigger  \" title=\"Gef\u00e4llt mir nicht\" data-post-id=\"3196\" data-trigger-type=\"dislike\" data-restriction=\"cookie\" data-already-liked=\"0\">\r\n                            <img src=\"https:\/\/linux-bibel.at\/wp-content\/uploads\/2023\/12\/Daumen-Runter.png\" alt=\"Gef\u00e4llt mir nicht\" \/>\r\n            <\/a>\r\n    <span class=\"pld-dislike-count-wrap pld-count-wrap\">0<\/span>\r\n<\/div><\/div>","protected":false},"excerpt":{"rendered":"<p>Normale Desktop-Benutzer werden sich unter Linux kaum vor Rootkits f\u00fcrchten m\u00fcssen &#8211; diese sind zwar unter Linux entstanden, so gesehen eine Linux-Entwicklung, aber zu Hause sind diese unter Windows. Linux-Desktop-Benutzer sind einfach zu wenig lohnende Ziele, sie haben zu unterschiedliche Distributionen, um einen Rootkit so einfach wie unter Windows zu installieren. Auf einem Linux-Server ist [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":3201,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[72],"tags":[],"class_list":["post-3196","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-sicherheit"],"_links":{"self":[{"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/posts\/3196","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/comments?post=3196"}],"version-history":[{"count":1,"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/posts\/3196\/revisions"}],"predecessor-version":[{"id":3203,"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/posts\/3196\/revisions\/3203"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/media\/3201"}],"wp:attachment":[{"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/media?parent=3196"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/categories?post=3196"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/tags?post=3196"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}