chkrootkit

Dieser Artikel wurde für die folgenden Ubuntu-Versionen getestet:

Zum Verständnis dieses Artikels sind folgende Seiten hilfreich:

  1. Installation von Paketen

  2. Ein Terminal öffnen

Inhaltsverzeichnis
  1. Installation
  2. Benutzung
  3. Automatische Tests per Cron-Job

Chkrootkit 🇬🇧 bietet eine Möglichkeit, Linuxsysteme auf Anzeichen eines Einbruchs zu untersuchen.

Installation

Folgendes Paket ist zu installieren [1]:

Paketliste zum Kopieren:

sudo apt-get install chkrootkit  

Oder mit apturl die Pakete installieren. Link: apt://chkrootkit

Benutzung

Aufgerufen wird der Rootkit-Scanner im Terminal [2] mit

sudo chkrootkit 

in der Kommandozeile.

Mehr Informationen und Optionen findet man in der Manpage des Programms aufgerufen werden kann.

Achtung!

Alleine durch die Benutzung von chkrootkit kann nicht garantiert werden, dass sich nicht doch ein Rootkit auf dem System befindet. Die Anwendung von nur einem einzigen Tool ist nicht sehr effektiv, da ein Rootkit-Autor sein Rootkit dagegen immun gemacht haben könnte. Es sollten immer noch weitere Tests durchgeführt werden, wie zum Beispiel mit rkhunter bzw. andere Maßnahmen vorgenommen werden. Des Weiteren sollte chkrootkit, um dessen Integrität und damit die Verlässlichkeit sicherzustellen, immer von einem 100%ig nicht kompromittierten System ausgeführt werden, wie z.B. einer Live-CD.

Automatische Tests per Cron-Job

Gerade bei Servern ist es nicht immer möglich, von einer Live-CD zu booten und dann nach Rootkits zu fahnden. Hierfür haben die Programmierer die Möglichkeit geschaffen, chkrootkit als Cron-Job auszuführen.

Es gibt allerdings einen kleinen Fehler in /etc/chkrootkit.conf. Hier muss die Zeile RUN_DAILY="false" auf RUN_DAILY="true" geändert werden.

Nun kann man chkrootkit als Cron-Job einplanen, z.B. direkt in /etc/crontab mit der Zeile

0 3     * * *   root    (cd /usr/sbin; ./chkrootkit 2>&1 | mail -s "chkrootkit output" xxx@xxx.xxx)

Dadurch wird man bei Warnungen komfortabel per E-Mail benachrichtigt.

Man kann natürlich auch das mitgelieferte Skript in /etc/cron.daily benutzen, das für die Artikelerstellung leider nicht getestet wurde

Außerdem ist es sinnvoll, einen weiteren Scanner wie rkhunter regelmäßig einzuplanen.