Security1O1 avatar

[DE] Rootkit Hunter - Linux auf Rootkits untersuchen

security101

Published: 11 Mar 2018 › Updated: 11 Mar 2018[DE] Rootkit Hunter - Linux auf Rootkits untersuchen

[DE] Rootkit Hunter - Linux auf Rootkits untersuchen

In diesem Beitrag möchte ich euch das Tool rkhunter(Rootkit Hunter) vorstellen. Diese Software ermöglicht es das eigene System leicht nach bekannten / auffälligen Rootkits zu scannen.
Rkhunter ist bei weitem nicht das einzige Tool. Ein weiteres bekanntes ist chrootkit


Bildquelle

Was sind Rootkits

Ein Rootkit ist einfach ausgedrückt Software, die Logins, Prozesse oder Dateien auf einem kompromittierten System zu verschleiern. Oftmals werden diese mit Hintertüren kombiniert um als Angreifer einfacheren Zugriff auf das Zielsystem zu ermöglichen. Auf die verschiedenen Arten und Ausprägungen möchte ich an dieser Stelle nicht weiter eingehen - schreibe auf Wunsch aber gerne einen gesonderten Beitrag diesbezüglich.

Installation und Einrichtung

Debian basierende Distributionen können rkhunter wie gewohnt mit
apt-get install rkhunter installieren, anderenfalls von Sourceforge.

Das anschließende Update mittels rkhunter --update hat bei mir folgenden Fehler geworfen:
VirtualBox_Kali-Linux-2017.2-vbox-amd64_11_03_2018_00_11_22.png

Dies lässt sich beheben, indem in der Datei /etc/rkhunter.conf folgende Änderungen vorgenommen werden:

 UPDATE_MIRRORS=0       -> UPDATE_MIRRORS=1
 MIRRORS_MODE=1         -> MIRRORS_MODE=0
 WEB_CMD="/bin/false"   -> WEB_CMD=""

Benutzung

Das System kann mit dem Befehl rkhunter -c --skip-keypress gescannt werden.

Hierbei wird das System nach falschen Dateirechten, verdächtigen Strings in Kernelmodulen, erstellten Ordnern etc. durchsucht. Außerdem werden Hashwerte vorhandener Dateien überprüft.

VirtualBox_Kali-Linux-2017.2-vbox-amd64_11_03_2018_00_57_26.png

Um genauere Informationen zu den möglichen funden zu erhalten sollte man sich die Warnungen in den Logs anschauen:

grep Warning /var/log/rkhunter.log

Außerdem besteht die Möglich keit bestimmte Warnungen zu Whitelisten (etc/rkhunter.conf).

Fazit

Mit rkhunter allein kann nicht garantiert werden, dass sich kein Rootkit auf dem System befindet, dennoch bietet es eine gute Übersicht bei einfacher Bedienung. Wenn viele Systeme überwacht werden sollen macht es natürlich Sinn den Scan über cron-jobs regelmäßig auszuführen und bei auftretenden Warnungen eine Mail zu versenden.

Leave [DE] Rootkit Hunter - Linux auf Rootkits untersuchen to:

Written by

IT Security / Kryptowährungen

Read more #deutsch posts


Best Posts From Security1O1

We have not curated any of security101's posts yet. But you can encourage our curation team to review posts by visiting them regularly and by referring other readers. Because we give priority to frequently read content.

More Posts From Security1O1