rkhunter
Fehlendes Makro
Das Makro „Getestet“ konnte nicht gefunden werden.
* [1]: [:Pakete installieren:Pakete installieren] * [2]: [:Paketquellen freischalten: Bearbeiten von Paketquellen] * [3]: [:Terminal: Ein Terminal öffnen] * [4]: [:Editor: Editor benutzen] * [5]: [:Packprogramme:Archive entpacken] * [6]: [:Terminal: Ein Terminal öffnen]
rkhunter 🇬🇧 (Rootkit Hunter) ist ein Linux-tool welches nach rootkits 🇩🇪 , Hintertüren 🇩🇪 und möglichen lokalen Exploits 🇩🇪 sucht. Dabei vergleicht es vorhandene Dateien anhand von md5 🇩🇪 -hashes mit Kompromitierten, sucht nach von Rootkits angelegten Ordnern, falschen Dateirechten, versteckten Dateien, verdächtigen Strings in Kernelmodulen und führt eine Reihe weiterer Tests durch.
Installation aus den Paketquellen¶
Das Programm kann aus den Paketquellen von Ubuntu über das Paket
rkhunter (universe, [2])
installiert [1] werden. Danach sollte ein mandatorisches Update der known-bad Hash-Datenbank von rkhunter durchgeführt werden. Dies geht von der Konsole [3] aus durch den Befehl
sudo rkhunter --update
rkhunter aus den Ubuntu Paketquellen (Version 1.2.9-3) ist leider nicht Ubuntu kompatibel. Das bedeutet, dass rkhunter sämtliche Rootkit-Tests durchführen kann mit Ausnahme des 'known-goods' Test, also das Überprüfen ob eine vorhandene Dateiversion den gleichen Hash besitzt wie nach einer cleanen Ubuntu-Installation. Dieser Test dient dazu unbekannte Rootkits daran zu erkennen ob sie Dateien verändert haben. Bekannte rootkits kann die rkhunter-Version aus den Paketquellen, jedoch auch unter Ubuntu erkennen, genauso wie alle übrigen Test (mit Ausnahme des genannten know-bad Tests) durchführen. Auch das seperat erhältliche Tool hashupd.sh kann unter Ubuntu die Hash-datenbank nicht selbstständig anlegen. rkhunter 1.3 fixt jedoch dieses Problem, ist allerdings noch nicht in den Paketquellen erhältlich und muss deswegen manuell installiert werden (siehe unten).
Manuelle Installation¶
Zuerst lädt man sich das aktuellste rkhunter Paket von Sourceforge 🇬🇧 herunter und entpackt [5] es in ein Verzeichnis seiner Wahl. Danach öffnet man zuerst mit einem Editor [4] die Datei installer.sh und ändert die erste Zeile in
#!/bin/bash
um. Jetzt installiert man rkhunter vom Terminal [6] aus mit:
sudo ./installer.sh --layout /usr/local --install
Um nun die Probleme der Version aus den Paketquellen zu beheben, updated man rkhunter 1.3 mit einem zusätzlichen Parameter:
sudo rkhunter --propupd --update
Durch den --propupd Parameter werden die Hash-Werte für known-good Dateien vom momentanen System erstellt. Bei einem Scan werden dann die gefundenen Werte mit diesen Hash-Werten verglichen. Dabei gilt zu beachten, dass dies nur funktioniert, wenn das System zu dem Zeitpunkt der Durchführung des Updates durch --propupd noch nicht kompromitiert war. Es empfiehlt sich also diesen Schritt auf einer neuen Ubuntu-Installation anzuwenden, da somit sichergestellt wird, dass die Hash-Werte auch richtig sind.
Benutzung¶
Jetzt kann man das komplette System mit folgendem Befehl scannen:
sudo rkhunter -c
einige Parameter: || -c ||kompletter System-Scan|| ||--display-logfile|| zeigt eine Zusammenfassung des Scans am Ende|| ||--skip-keypress|| man muss zwischen den einzelnen Scan-abschnitten nichtmehr Enter drücken|| ||--update||führt ein Update der known-bad Hash-Datenbank durch|| ||--propupd||führt ein Update der known-good Hash-Datenbank durch (nur bei der manuell installierten Version bzw. > 1.3 möglich )|| Eine vollständige Liste der möglichen Parameter findet man in den Hilfeseiten von rkhunter. –– * Kategorie/Sicherheit