rkhunter
Fehlendes Makro
Das Makro „Getestet“ konnte nicht gefunden werden.
* [1]: [:Pakete installieren:Pakete installieren] * [2]: [:Paketquellen freischalten: Bearbeiten von Paketquellen] * [3]: [:Terminal: Ein Terminal öffnen] * [4]: [:Editor: Editor benutzen] * [5]: [:Packprogramme:Archive entpacken] * [6]: [:Terminal: Ein Terminal öffnen]
rkhunter 🇬🇧 (Rootkit Hunter) ist ein Linux-Tool, welches nach Rootkits 🇩🇪 , Hintertüren 🇩🇪 und möglichen lokalen Exploits 🇩🇪 sucht. Dabei vergleicht es vorhandene Dateien anhand von md5 🇩🇪 -hashes mit kompromittierten Dateien, sucht nach von Rootkits angelegten Ordnern, falschen Dateirechten, versteckten Dateien, verdächtigen Strings in Kernelmodulen und führt eine Reihe weiterer Tests durch.
Installation¶
Aus den Paketquellen¶
Das Programm kann aus den Paketquellen von Ubuntu über das Paket
rkhunter (universe, [2])
installiert [1] werden. Danach sollte ein mandatorisches Update der known-bad Hash-Datenbank von rkhunter durchgeführt werden. Dies geht von der Konsole [3] aus durch den Befehl
sudo rkhunter --update
rkhunter aus den Ubuntu Paketquellen (Version 1.2.9-3) ist leider nicht kompatibel zu Ubuntu. Das bedeutet, dass rkhunter sämtliche Rootkit-Tests durchführen kann mit Ausnahme des "known-good"-Test, also das Überprüfen, ob eine vorhandene Dateiversion den gleichen Hash besitzt wie nach einer sauberen Ubuntu-Installation. Dieser Test dient dazu unbekannte Rootkits daran zu erkennen, ob sie Dateien verändert haben. Bekannte Rootkits kann die rkhunter-Version aus den Paketquellen jedoch auch unter Ubuntu erkennen, genauso wie alle übrigen Tests durchführen (mit Ausnahme des genannten "known-good"-Tests). Auch das separat erhältliche Tool hashupd.sh kann unter Ubuntu die Hash-Datenbank nicht selbstständig anlegen. rkhunter 1.3 fixt jedoch dieses Problem, ist allerdings noch nicht in den Paketquellen erhältlich und muss deswegen manuell installiert werden (siehe unten).
Manuelle Installation¶
Zuerst lädt man sich das aktuelle rkhunter-Paket von Sourceforge 🇬🇧 herunter und entpackt [5] es in ein Verzeichnis seiner Wahl. Danach öffnet man zuerst mit einem Editor [4] die Datei installer.sh und ändert die erste Zeile in
#!/bin/bash
um. Jetzt installiert man rkhunter vom Terminal [6] aus mit:
sudo ./installer.sh --layout /usr/local --install
Um nun die Probleme der Version aus den Paketquellen zu beheben, bringt man rkhunter 1.3 mit einem zusätzlichen Parameter auf den aktuellen Stand:
sudo rkhunter --propupd --update
Durch den Parameter `--propupd` werden die Hash-Werte für "known-good"-Dateien vom momentanen System erstellt. Bei einem Scan werden dann die gefundenen Werte mit diesen Hash-Werten verglichen. Dabei gilt zu beachten, dass dies nur funktioniert, wenn das System zu dem Zeitpunkt der Durchführung des Updates durch `--propupd` noch nicht kompromittiert war. Es empfiehlt sich also diesen Schritt auf einer neuen Ubuntu-Installation anzuwenden, da somit sichergestellt wird, dass die Hash-Werte auch richtig sind.
Benutzung¶
Jetzt kann man das komplette System mit folgendem Befehl scannen:
sudo rkhunter -c
| Einige Parameter | |
-c | kompletter System-Scan |
--display-logfile | zeigt eine Zusammenfassung des Scans am Ende |
--skip-keypress | man muss zwischen den einzelnen Scan-Abschnitten nicht mehr Enter drücken |
--update | führt ein Update der known-bad Hash-Datenbank durch |
--propupd | führt ein Update der known-good Hash-Datenbank durch (nur bei der manuell installierten Version bzw. > 1.3 möglich ) |
Eine vollständige Liste der möglichen Parameter findet man in den Hilfeseiten von rkhunter.
Alleine durch die Benutzung von '''rkhunter''' kann nicht garantiert werden, dass sich nicht doch ein Rootkit auf dem System befindet. Die Anwendung von nur einem einzigen Tool ist nicht sehr effektiv, da ein Autor sein Rootkit dagegen immun gemacht haben könnte. Es sollten immer noch weitere Tests durchgeführt werden, wie zum Beispiel mit [:chkrootkit:] bzw. andere Maßnahmen vorgenommen werden.