Linux-Rootkits jagen

Rootkits stellen eine Bedrohung dar, welche die Windows-Welt bisher weitgehend verschont hat. Linux-/Unix-Anwender müssen sich dagegen schon seit längerer Zeit mit dieser speziellen Art von Angriffswerkzeugen herumschlagen. Zuerst noch die Begriffsdefinition aus der Wikipedia:

Ein Rootkit ist eine Sammlung von Softwarewerkzeugen, die nach dem Einbruch in ein Computersystem auf dem kompromittierten System installiert wird, um zukünftige Logins des Eindringlings zu verbergen, Prozesse zu verstecken und Daten mitzuschneiden.

Damit ist bereits eine der wichtigsten Eigenheiten dieser Programm-Sammlungen definiert: Ein Rootkit will nicht auffallen. Nur wer sich mit der Materie beschäftigt, kommt überhaupt auf die Idee, auf den von ihm betreuten Rechnern nach Rootkits zu suchen. Ein einfach zu bedienendes Programm ist der Rootkit Hunter, dessen Installation und Einsatz im folgenden kurz beschrieben wird.

Zuerst das Herunterladen. Beim Schreiben dieses Textes war die Version 1.2.1 aktuell, es ist aber wichtig immer die neueste Variante zu verwenden, da jedes Update zusätzliche Rootkits erkennt. Die aktuelle Versionsnummer steht auf dieser Seite ganz unten unter Downloads.

wget http://downloads.rootkit.nl/rkhunter-1.2.1.tar.gz

Extrahieren mit

tar zxf rkhunter-1.2.1.tar.gz

Wechseln in das Rootkit-Hunter-Verzeichnis mit

cd rkhunter

und ausführen des Installations-Skripts mit

./installer.sh

Anschließend kann das Programm sofort eingesetzt werden. Der Befehl

rkhunter -c

führt einen umfangreichen Scan auf dem jeweiligen System durch. Einen verkürzten Report kann man sich mit

rkhunter -c --report-mode

anzeigen lassen. Ein typisches (verkürztes) Scan-Ergebnis kann so aussehen (getestet auf einem Debian-Woody-Webserver):

rkhunter -c –report-mode
* MD5 scan
MD5 compared : 67
Incorrect MD5 checksums : 0

* File scan
Scanned files: 342
Possible infected files: 0

* Rootkits
Possible rootkits:

Scanning took 50 seconds

*important*
Scan your system sometimes manually with full output enabled!

Was ist aber, wenn beim Scan ein Rootkit gefunden wurde? Aus der FAQ des Programms:

If your system is infected with an rootkit, it’s almost impossible to clean it up (lets say with a full warranty it’s clean). Never trust a machine which has been infected with a rootkit, because hiding is his main purpose.

Die Autoren empfehlen:

A clean install of the system is recommended after backing up the full system. So follow the next steps:

1. Get the host offline
2. Backup your data (as much as possible, including binaries and logfiles)
3. Verify the integrity of this data
4. Install your host with a fresh install
5. Investigate the old log files and the possible used tools. Also investigate the services which were vulnerable at the time of hack.

Vor etwa einem Jahr ist ein Artikel auf Newsforge erschienen, bei dem die Version 1.0.3 getestet wurde.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.