Kapitel:
Rootkits |
 |
Bei einem 'Rootkit', welches vielleicht mit 'Administratorbausatz' ins deutsche übersetzt werden kann, handelt es sind um Sätze von Programmen, die entwickelt wurden, um durch die Benutzung bekannter Sicherheitslücken die Kontrolle über eine Zielmaschine zu übernehmen. 'Rootkits' sind in den unterschiedlichen Varianten verfügbar, dabei muss der Angreifer nicht zwingend über weit reichende Systemkenntnisse verfügen, ein erschlichener Zugang zum System ist oft ausreichend, um ein 'Rootkit' zu installieren. Angreifer, die solche 'Rootkits' einsetzen, werden aufgrund der fehlenden Kenntnisse auch als 'Script-Kiddies' bezeichnet. Die Eigenschaft eines 'Rootkit' ist, viele Arbeitsschritte bei einem Einbruch in ein System zu automatisieren. Es werden dabei zunächst Programme installiert und ausgetauscht, um Aktivitäten auf dem System zu verbergen. Daher ist es zumeist nicht immer einfach ein 'Rootkit' zu identifizieren.
Auf der vorliegenden Seite wird die Installation und Nutzung von zwei 'Rootkit'-Scannern unter Debian-Linux vorgestellt. Bei den vorgestellten Scannern handelt es sich um 'Check Rootkit' (chkrootkit) und 'Rootkit Hunter' (rkhunter).
Check Rootkit
Ein einfaches Tool um 'Rootkits' zu erkennen ist 'Check Rootkit' ('chkrootkit'). Es kann unter Debian einfach mittels 'aptitude install chkrootkit' aus dem Repository installiert werden. Das Tool ist sehr einfach zu bedienen, es reicht eigentlich ein schlichter Aufruf des Befehls. Hier ein Aufruf mit einer verkürzen Ausgabe:
debian:~# chkrootkit
ROOTDIR is `/'
Checking `amd'... not found
Checking `basename'... not infected
Checking `biff'... not found
Checking `chfn'... not infected
... --- SNIP ---
Checking `slapper'... not infected
Checking `z2'... chklastlog: nothing deleted
debian:~#
Eine Übersicht der verfügbaren Kommandos kann mit der Option '-h' für Hilfe ausgegeben werden.
Auch wird bei der Installation von 'Check Rootkit' ein 'cron'-Job unter '/etc/cron.daily/' mit eingerichtet, der dann täglich nach 'Rootkits' sucht. Der tägliche Aufruf kann in der Datei: '/etc/chkrootkit.conf' konfiguriert werden. Mit der Option '-q' wird die Ausgabe von 'chkrootkit' unterdrückt.
Rootkit Hunter
Der 'Rootkit-Hunter' ('rkhunter') ist eine Anwendung, welche dazu dient, sicherzustellen, dass das System frei von Schadprogrammen ist. Das Tool scannt nach 'Rootkits', 'Backdoors' und lokalen 'Exploits'. 'Rootkit Hunter' kann unter Debian-Linux einfach mittels 'aptitude install rkhunter' installiert werden. Nach der Installation sollte zunächst ein Update durchgeführt werden ('rkhunter --update'). Die Konfigurationsdatei für 'Rootkit Hunter' ist '/etc/rkhunter.conf', normalerweise ist diese recht gut vorkonfiguriert, sodass ein erster Check kann mit folgenden Aufruf erfolgen kann:
rkhunter --check
Alle Ergebnisse werden in der Datei: '/var/log/rkhunter.log' protokolliert.
Sinnvoll ist es 'Rootkit Hunter' zyklisch anzuwenden und nach Unsicherheiten zu suche, auch diese Aufgabe ist unter Debian-Linux schon bei der Installation berücksichtigt worden. Im Verzeichnis: '/etc/cron.daily' befindet sich das Script 'rkhunter' welches täglich ausgeführt wird. Eine Konfiguration dieses Skriptes kann in der Datei '/etc/default/rkhunter' erfolgen. Hier der Inhalt der '/etc/default/rkhunter':
|
Konfigurationsdatei: /etc/default/rkhunter für den täglichen Scann mit: 'Rootkit Hunter' |
| # Defaults for rkhunter cron
jobs # sourced by /etc/cron.*/rkhunter # # This is a POSIX shell fragment # # Set this to the email address where reports and run output should be sent REPORT_EMAIL="root" # Set this to yes to enable rkhunter weekly database updates CRON_DB_UPDATE="yes" # Set this to yes to enable reports of weekly database updates DB_UPDATE_EMAIL="no" # Set this to yes to enable rkhunter daily runs CRON_DAILY_RUN="yes" # Nicenesses range from -20 (most favorable scheduling) to 19 (least favorable). NICE="0" |
In der selbsterklärenden Konfigurationsdatei können die Parameter für den täglichen Scann angepasst werden, z.B. die E-Mail- Adresse, wo die Ergebnisse hingesandt werden sollen.
Anmerkungen
Selbstverständlich können beide 'Rootkit'-Scanner auch parallel auf einem System eingesetzt werden, oder es empfiehlt sich sogar, beide gleichzeitig installiert zu haben, da ein 'Rootkit'-Schreiber sein 'Rootkit' gegen einen der Scanner immun gemacht haben könnte. Weiterhin wichtig ist, dass ein Scann auch regelmäßig zyklisch durchgeführt wird und die Ergebnissse ausgewertet werden.
Weitere Infos
| Homepage: chkrootkitchkrootkit | http://www.chkrootkit.org/ |
| System-Dokumentation: chkrootkit | /usr/share/doc/chkrootkit/ |
| Manualseite zu: chkrootkit | man chkrootkit |
| Homepage: Rootkit Hunter project | http://rkhunter.sourceforge.net/ |
| Wiki: Rootkit Hunter | http://rkhunter.wiki.sourceforge.net/ |
| System-Dokumentation: rkhunter | /usr/share/doc/rkhunter/ |
| Manualseite zu: rkhunter | man rkhunter |
letzte Änderung: 31. März 2009