[[Getestet(feisty)]] {{{#!Wissen * [1]: [:Pakete installieren:Pakete installieren] * [2]: [:Paketquellen freischalten: Bearbeiten von Paketquellen] * [3]: [:Terminal: Ein Terminal öffnen] * [4]: [:Editor: Editor benutzen] * [5]: [:Packprogramme:Archive entpacken] * [6]: [:Terminal: Ein Terminal öffnen] }}} [[TableOfContents(1)]] [http://rkhunter.sourceforge.net/ rkhunter] {en} (Rootkit Hunter) ist ein Linux-tool welches nach [http://de.wikipedia.org/wiki/Rootkit rootkits] {de} , [http://de.wikipedia.org/wiki/Backdoor Hintertüren] {de} und möglichen lokalen [http://de.wikipedia.org/wiki/Exploit Exploits] {de} sucht. Dabei vergleicht es vorhandene Dateien anhand von [http://de.wikipedia.org/wiki/Md5 md5] {de} -hashes mit Kompromitierten, sucht nach von Rootkits angelegten Ordnern, falschen Dateirechten, versteckten Dateien, verdächtigen Strings in Kernelmodulen und führt eine Reihe weiterer Tests durch. = Installation aus den Paketquellen = Das Programm kann aus den Paketquellen von Ubuntu über das Paket * '''rkhunter''' (''universe'', [2]) installiert [1] werden. Danach sollte ein mandatorisches Update der ''known-bad'' Hash-Datenbank von rkhunter durchgeführt werden. Dies geht von der Konsole [3] aus durch den Befehl {{{#!Befehl sudo rkhunter --update }}} {{{#!Hinweis rkhunter aus den Ubuntu Paketquellen (Version 1.2.9-3) ist leider nicht Ubuntu kompatibel. Das bedeutet, dass rkhunter sämtliche Rootkit-Tests durchführen kann mit Ausnahme des 'known-goods' Test, also das Überprüfen ob eine vorhandene Dateiversion den gleichen Hash besitzt wie nach einer cleanen Ubuntu-Installation. Dieser Test dient dazu unbekannte Rootkits daran zu erkennen ob sie Dateien verändert haben. Bekannte rootkits kann die rkhunter-Version aus den Paketquellen, jedoch auch unter Ubuntu erkennen, genauso wie alle übrigen Test (mit Ausnahme des genannten know-bad Tests) durchführen. Auch das seperat erhältliche Tool hashupd.sh kann unter Ubuntu die Hash-datenbank nicht selbstständig anlegen. rkhunter 1.3 fixt jedoch dieses Problem, ist allerdings noch nicht in den Paketquellen erhältlich und muss deswegen manuell installiert werden (siehe unten). }}} = Manuelle Installation = Zuerst lädt man sich das aktuellste rkhunter Paket von [http://sourceforge.net/project/showfiles.php?group_id=155034&package_id=172567 Sourceforge] {en} herunter und entpackt [5] es in ein Verzeichnis seiner Wahl. Danach öffnet man zuerst mit einem Editor [4] die Datei '''''installer.sh''''' und ändert die erste Zeile in {{{#!Befehl #!/bin/bash }}} um. Jetzt installiert man rkhunter vom Terminal [6] aus mit: {{{#!Befehl sudo ./installer.sh --layout /usr/local --install }}} Um nun die Probleme der Version aus den Paketquellen zu beheben, updated man rkhunter 1.3 mit einem zusätzlichen Parameter: {{{#!Befehl sudo rkhunter --propupd --update }}} {{{#!Hinweis Durch den --propupd Parameter werden die Hash-Werte für known-good Dateien vom momentanen System erstellt. Bei einem Scan werden dann die gefundenen Werte mit diesen Hash-Werten verglichen. Dabei gilt zu beachten, dass dies nur funktioniert, wenn das System zu dem Zeitpunkt der Durchführung des Updates durch --propupd noch nicht kompromitiert war. Es empfiehlt sich also diesen Schritt auf einer neuen Ubuntu-Installation anzuwenden, da somit sichergestellt wird, dass die Hash-Werte auch richtig sind. }}} = Benutzung = Jetzt kann man das komplette System mit folgendem Befehl scannen: {{{#!Befehl sudo rkhunter -c }}} __einige Parameter: || -c ||kompletter System-Scan|| ||--display-logfile|| zeigt eine Zusammenfassung des Scans am Ende|| ||--skip-keypress|| man muss zwischen den einzelnen Scan-abschnitten nichtmehr Enter drücken|| ||--update||führt ein Update der known-bad Hash-Datenbank durch|| ||--propupd||führt ein Update der known-good Hash-Datenbank durch (nur bei der manuell installierten Version bzw. > 1.3 möglich )|| Eine vollständige Liste der möglichen Parameter findet man in den [:Shell/man:Hilfeseiten] von rkhunter. ---- * [:Kategorie/Sicherheit:]