Ubuntu 16.04 Xenial Xerus
Ubuntu 12.04 Precise Pangolin
Chkrootkit bietet eine Möglichkeit, Linuxsysteme auf Anzeichen eines Einbruchs zu untersuchen.
Folgendes Paket ist zu installieren [1]:
chkrootkit
mit apturl
Paketliste zum Kopieren:
sudo apt-get install chkrootkit
sudo aptitude install chkrootkit
Aufgerufen wird der Rootkit-Scanner im Terminal [2] mit
sudo chkrootkit
in der Kommandozeile.
Mehr Informationen und Optionen findet man in der Manpage des Programms aufgerufen werden kann.
Alleine durch die Benutzung von chkrootkit kann nicht garantiert werden, dass sich nicht doch ein Rootkit auf dem System befindet. Die Anwendung von nur einem einzigen Tool ist nicht sehr effektiv, da ein Rootkit-Autor sein Rootkit dagegen immun gemacht haben könnte. Es sollten immer noch weitere Tests durchgeführt werden, wie zum Beispiel mit rkhunter bzw. andere Maßnahmen vorgenommen werden. Des Weiteren sollte chkrootkit, um dessen Integrität und damit die Verlässlichkeit sicherzustellen, immer von einem 100%ig nicht kompromittierten System ausgeführt werden, wie z.B. einer Live-CD.
Gerade bei Servern ist es nicht immer möglich, von einer Live-CD zu booten und dann nach Rootkits zu fahnden. Hierfür haben die Programmierer die Möglichkeit geschaffen, chkrootkit als Cron-Job auszuführen.
Es gibt allerdings einen kleinen Fehler in /etc/chkrootkit.conf. Hier muss die Zeile RUN_DAILY="false"
auf RUN_DAILY="true"
geändert werden.
Nun kann man chkrootkit als Cron-Job einplanen, z.B. direkt in /etc/crontab mit der Zeile
0 3 * * * root (cd /usr/sbin; ./chkrootkit 2>&1 | mail -s "chkrootkit output" xxx@xxx.xxx)
Dadurch wird man bei Warnungen komfortabel per E-Mail benachrichtigt.
Man kann natürlich auch das mitgelieferte Skript in /etc/cron.daily benutzen, das für die Artikelerstellung leider nicht getestet wurde
Außerdem ist es sinnvoll, einen weiteren Scanner wie rkhunter regelmäßig einzuplanen.
Diese Revision wurde am 31. Oktober 2016 20:11 von Xeno erstellt.