ubuntuusers.de

chkrootkit

Dieser Artikel wurde für die folgenden Ubuntu-Versionen getestet:


Du möchtest den Artikel für eine weitere Ubuntu-Version testen? Mitarbeit im Wiki ist immer willkommen! Dazu sind die Hinweise zum Testen von Artikeln zu beachten.

Zum Verständnis dieses Artikels sind folgende Seiten hilfreich:

Chkrootkit 🇬🇧 bietet eine Möglichkeit, Linuxsysteme auf Anzeichen eines Einbruchs zu untersuchen.

Installation

Folgendes Paket ist zu installieren [1]:

  • chkrootkit (universe)

Befehl zum Installieren der Pakete:

sudo apt-get install chkrootkit 

Oder mit apturl installieren, Link: apt://chkrootkit

Benutzung

Aufgerufen wird der Rootkit-Scanner im Terminal [2] mit

sudo chkrootkit 

in der Kommandozeile. Wie die Ausgabe interpretiert werden muss, findet sich in der README im Abschnitt „Output Messages“. Die README lässt sich mit zless /usr/share/doc/chkrootkit/README.gz lesen.

Scannt man von einem Live-System aus, ist die Option -r <Ordner> interessant. Damit kann man einen alternativen Ordner wie /mnt/USB-HDD als root-Verzeichnis verwenden.

Mehr Informationen und Optionen findet man in der Manpage des Programms.

Achtung!

Alleine durch die Benutzung von chkrootkit kann nicht garantiert werden, dass sich nicht doch ein Rootkit auf dem System befindet. Die Anwendung von nur einem einzigen Tool ist nicht sehr effektiv, da ein Rootkit-Autor sein Rootkit dagegen immun gemacht haben könnte. Es sollten immer noch weitere Tests durchgeführt werden, wie zum Beispiel mit rkhunter bzw. andere Maßnahmen vorgenommen werden. Des Weiteren sollte chkrootkit, um dessen Integrität und damit die Verlässlichkeit sicherzustellen, immer von einem 100%ig nicht kompromittierten System ausgeführt werden, wie z.B. einer Live-CD.

Automatische Tests per Cron-Job

Standardmäßig wird das mitgelieferte Skript /etc/cron.daily/chkrootkit täglich per Cron ausgeführt. Gerade bei Servern ist es nicht immer möglich, von einer Live-CD zu booten und dann nach Rootkits zu fahnden.

Die Datei /etc/chkrootkit/chkrootkit.conf enthält die Konfigurationsoptionen. Sie sind in der Datei dokumentiert.

Über die Datei /var/log/chkrootkit/log.expected lässt sich eine erwartete Ausgabe festlegen. Diese dient als Vergleichsgrundlage für folgende Ausführungen. Solange diese Datei nicht existiert, finden sich Anweisungen zum Erstellen in der cron-Ausgabe von chkrootkit.

Außerdem ist es sinnvoll, einen weiteren Scanner wie rkhunter regelmäßig einzuplanen.

Diese Revision wurde am 17. September 2023 01:34 von chris34 erstellt.
Die folgenden Schlagworte wurden dem Artikel zugewiesen: Sicherheit