Aus den Paketquellen¶

Das Programm kann aus den Paketquellen von Ubuntu über das Paket

• rkhunter

mit apturl

sudo apt-get install rkhunter 

sudo aptitude install rkhunter 

installiert ^[1] werden. Danach sollte ein mandatorisches Update der known-bad-Hash-Datenbank von rkhunter durchgeführt werden. Dies geht von der Konsole ^[3] aus durch den Befehl

sudo rkhunter --update 

Wer automatische Scan-Läufe und E-Mail-Benachrichtigungen erhalten möchte, muss noch folgendes Paket installieren:

• mailutils

mit apturl

sudo apt-get install mailutils 

sudo aptitude install mailutils 

Auf neue Version der rkhunter-Scan-Engine prüfen¶

rkhunter ist leider nicht in der Lage, die Scan-Engine selbst zu aktualisieren (nur die Signatur-Dateien können aktualisiert werden). Die Ubuntu-Quellen sind hier leider auch nicht immer auf dem neusten Stand. Um auf eine neue rkhunter-Version der Scan-Engine zu prüfen, führt man diesen Befehl in der Konsole ^[3] aus:

sudo rkhunter --versioncheck 

Ist die aktuell verfügbare Version ("Latest Version") neuer, muss diese leider manuell nachinstalliert werden (siehe Manuelle Installation).

Manuelle Installation¶

Zuerst lädt man sich das aktuelle rkhunter-Paket (Datei mit der Endung tar.gz) von Sourceforge herunter und entpackt ^[5] es in ein Verzeichnis seiner Wahl. Danach öffnet man zuerst mit einem Editor ^[4] die Datei installer.sh und ändert die erste Zeile in

#!/bin/bash

um. Jetzt installiert man rkhunter vom Terminal ^[6] aus mit:

sudo ./installer.sh --layout /usr/local --install 

Um nun die Probleme der Version aus den Paketquellen zu beheben, bringt man rkhunter 1.3 mit einem zusätzlichen Parameter auf den aktuellen Stand:

sudo rkhunter --propupd --update 

Falsche Warnungen durch Whitelist-Einträge beseitigen¶

Nach dem ersten Scan sollte man /var/log/rkhunter.log genau ansehen und alle Warnungen genauer untersuchen.

Dann kann man die Konfigurations-Datei /etc/rkhunter.conf so ändern, dass keine Warnungen mehr kommen ("Whitelisting").

Das folgendes Skript (das aus der FAQ von rkhunter entstanden ist) vereinfacht diese Arbeit, indem es für jede in der Log-Datei vorhandenen Warnung eine Whitelist-Konfigurations-Zeile am Bildschirm ausgibt.

Für die falschen Warnungen kopiert man dann die passenden Konfigurations-Zeilen ans Ende der Konfigurations-Datei.

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41

#!/bin/sh
# http://rkhunter.cvs.sourceforge.net/viewvc/rkhunter/rkhunter/files/FAQ
LOG=/var/log/rkhunter.log
cat <<EOF
6. WHITELISTING EXAMPLES
========================

6.1) After Rootkit Hunter has run you may encounter items in the log
     file you would like to whitelist. First verify that the entries
     are safe to add. The results of running these commands can be
     added to your 'rkhunter.conf' configuration file. Please
     adjust the commands, and the location of your 'rkhunter.log' log
     file, and verify the results before adding them. Do not automate
     adding whitelist entries to your configuration file.

EOF

echo '
     Allow script replacements ("properties" test):'
     awk -F"'" '/replaced by a script/ {print "SCRIPTWHITELIST="$2}' $LOG
echo '
     Allow processes using deleted files ("deleted_files" test):'
     awk '/Process: / {print "ALLOWPROCDELFILE="$3}' $LOG | sort -u
echo '
     Allow Xinetd services:'
     awk '/Found enabled xinetd service/ {print $NF}' $LOG |
      xargs -iX grep -e "server[[:blank:]]" 'X' | awk '{print "XINETD_ALLOWED_SVC="$NF}'
echo '
     Allow packet capturing applications ("packet_cap_apps" test):'
     awk -F"'" '/is listening on the network/ {print "ALLOWPROCLISTEN="$2}' $LOG
echo '
     Allow "suspicious" files ("filesystem" test):'
     grep '^\[..:..:..\][[:blank:]]\{6\}.*/dev/shm/.*:' $LOG |
      awk '{print "ALLOWDEVFILE="$2}' | sed -e "s|:$||g"
echo '
     Allow hidden directories ("filesystem" test):'
     awk '/Warning: Hidden directory/ {print "ALLOWHIDDENDIR="$6}' $LOG
echo '
     Allow hidden files ("filesystem" test):'
     awk '/Warning: Hidden file/ {print "ALLOWHIDDENFILE="$6}' $LOG |
      sed -e "s|:$||g"

Hinweis: Diese Skript-Datei verändert nichts, sie zeigt nur die Zeilen an, welche dann manuell in die Konfigurations-Datei kopiert werden können!

cron-Job und E-Mail-Benachrichtigung aktivieren¶

Wer aus den Paketquellen installiert hat, muss die cron-Job-Datei /etc/cron.daily nicht mehr manuell modifieren (das hat die Installation bereits erledigt).

Bei einer manuellen Installation von rkhunter kann man rkhunter zur regelmäßigen automatischen Ausführung als Cron-Job in /etc/crontab eintragen:

10 3    * * *   root    /usr/bin/rkhunter --cronjob 

rkhunter kann per E-Mail Status-Meldungen schicken. Man erhält z. B. täglich eine E-Mail über die Scan-Ergebnisse, die ungefähr so aussieht (bei Auffälligkeiten):

1
2
3
4
5
6
7
8
9

From: root@localhost
Subject: [rkhunter] <ComputerName> - Daily report

Warning: The command '/usr/bin/unhide.rb' has been replaced by a script: /usr/bin/unhide.rb: Ruby script, ASCII text
Warning: Suspicious file types found in /dev:
         /dev/.udev/rules.d/root.rules: ASCII text
Warning: Hidden directory found: /etc/.java: directory 
Warning: Hidden directory found: /dev/.udev: directory 
Warning: Hidden file found: /dev/.initramfs: symbolic link to `/run/initramfs'

Die folgende Beschreibung funktioniert nur auf dem lokalen Rechner mit lokalen E-Mails und benötigt das Installations-Paket mailutils (siehe Installation aus den Paket-Quellen). Wie man rkhunter-E-Mails über das Firmen- oder Internet verschickt, wäre hier zu kompliziert zu beschreiben (Stichworte: sendmail/MTA einrichten).

Folgende rkhunter-Konfigurations-Datei muss außerdem einmalig angepasst werden (dazu eine Konsole öffnen):

sudo gedit /etc/default/rkhunter 

Dort die vorhandenen Eigenschaften für cron-Jobs wie folgt setzen:

1
2
3
4
5

CRON_DAILY_RUN="true"
CRON_DB_UPDATE="true"
DB_UPDATE_EMAIL="true"
REPORT_EMAIL="<username>@localhost" # <username> durch den Login-Namen des Haupt-Benutzers ersetzen (ermitteln z. B. mit dem Befehl "whoami")
APT_AUTOGEN="true"

Testen der E-Mail-Benachrichtigung durch manuelles Ausführen des cron-Job-Skripts (nur bei Installation von rkhunter über das Installations-Paket vorhanden!):

sudo /etc/cron.daily/rkhunter 

Anmerkung: Zum Lesen der E-Mail muss ein E-Mail-Leseprogramm eingerichtet werden (siehe Beschreibung im nächsten Abschnitt).

Alternativ kann man die E-Mails in der Konsole mit folgendem Befehl lesen:

mail 

Optional: Die E-Mail-Benachrichtigung, dass Warnungen gefunden wurden, sollte deaktiviert werden, da sie keine Details über die gefundenen Warnungen enthält (im Gegensatz zur obigen E-Mail-Benachrichtigung):

sudo gedit /etc/rkhunter.conf 

Dort die allgemeinen rkhunter-Einstellungen wie folgt setzen:

1

MAIL-ON-WARNING=""

Lokales E-Mail-Postfach zum Lesen der rkhunter-Nachrichten einrichten¶

rkhunter kann Befunde und Status-Meldungen wie Signatur-Aktualisierungen per E-Mail mitteilen.

Wenn man diese Option wie im vorigen Abschnitt beschrieben aktiviert hat, muss man noch den Zugriff auf das lokale Postfach im E-Mail-Leseprogramm einrichten.

Die folgende Beschreibung gilt für das E-Mail-Leseprogramm Evolution:

Menü Bearbeiten > Einstellungen > E-Mail-Konten

Dort ein neues Konto anlegen mit folgenden Einstellungen (wobei <username> durch den Benutzer-Namen zu ersetzen ist, an den die E-Mails gemäß der Konfiguration im vorherigen Abschnitt geschickt werden):

1
2
3

Benutzer-Name: "<username>@thisComputer"
Server Typ: Standard unix mbox spool file
Datei: /var/mail/<username>

Hinweis: <username> ist durch den Login-Namen des Haupt-Benutzers ersetzen (ermitteln z. B. mit dem Befehl "whoami")

Falls die Datei var/mail/<username> noch nicht vorhanden und damit nicht auswählbar ist, schickt man einmalig eine E-Mail an den Benutzer:

echo "Meine erste E-Mail..." | mail -s "Nummer 1" <username> 

Jetzt kann man die E-Mails regelmäßig ansehen und lesen.

sudo gedit /root/.forward 

1

<username>@localhost

echo "lorem ipsum" | mail -s "Test-Mail an root" root