Rootkithunter

Viren und Rootkits sind zwar hauptsächlich für Windows-Systeme ein Problem, aber wir sollten dennoch nicht vergessen, dass auch Windows-Clients Zugriff auf unseren Server haben, und wir wollen doch keine Virenschleuder einrichten...

HINWEIS: dazuko wird von aktuellen FreeBSD Versionen nicht mehr unterstützt, da sich ein solcher Virenscanner für FreeBSD nicht etabliert hat. Falls du einzelne Verzeichnisse prüfen lassen willst, solltest du ClamAV nutzen und einen entsprechenden Cronjob einrichten. Um Verwirrungen zu vermeiden habe ich das Tutorial daher entfernt.

ACHTUNG: Der Rootkit Hunter SUCHT nach Hinweisen auf Rootkits, er entfernt sie aber NICHT! Warum nicht? Nun, auch eine sehr gute Software kann Fehler machen und auf einem Server kann das große Schäden verursachen. In der Readme/FAQ des RkH stehen viele wichtige Hinweise dazu, was zu tun ist wenn der Hunter anschlägt!

  1. Wir installieren auch den Rootkit Hunter über die Ports:

    # cd /usr/ports/security/rkhunter && make install clean

  2. Wie du den Installationshinweisen entnehmen kannst, müssen wir folgende Zeilen in die Datei '/etc/periodic.conf' einfügen, um die Definitionen aktuell zu halten:

    daily_rkhunter_update_enable="YES"
    daily_rkhunter_check_enable="YES"

  3. Jetzt müssen wir den RkH noch konfigurieren. Dafür müssen wir die Konfigurationsdatei '/usr/local/etc/rkhunter.conf' anpassen. Schau dir die Kommentare in der Beispieldatei an und passe sie an deine Bedürfnisse an. Ziehe auch die Website/das Handbuch zu Rate.
    Für mich erstmal wichtig ist die Option "MAIL-ON-WARNING". Hier trage deine eMail-Adresse ein, an die Benachrichtigungen geschickt werden sollen. Das ist sehr wichtig! Anschließend sollten wir noch ein Update machen:

    # rkhunter --update


Ein weiteres Tool ist "chkrootkit". Dieses ist vielleicht noch bekannter als der Rootkit Hunter. Doppelt genäht hält besser, daher setzen wir dieses Tool auch noch ein. Installieren ist ganz einfach:

  1. Wir installieren das Tool wie gewohnt aus den Ports:

    # cd /usr/ports/security/chkrootkit/ && make install clean

  2. Starten können wir "chkrootkit" mit folgendem Befehl. Es werden alle Tests durchgeführt:

    # /usr/local/sbin/chkrootkit

    Mit folgendem Befehl kannst du dir die verfügbaren Tests ausgeben lassen, die du dann per Parameterübergabe auch einzeln aufrufen kannst:

    # /usr/local/sbin/chkrootkit -l

  3. Abschließend würde ich noch empfehlen, einen Cronjob einzurichten, der täglich auf Rootkits prüft. Ich rate allerdings den Test nicht gleichzeitig mit RKHunter laufen zu lassen.
Einen Kommentar hinzufügen

Einen Kommentar hinzufügen

This is a captcha-picture. It is used to prevent mass-access by robots. (see: www.captcha.net)
Code im diesem Bild:
Ihr Name(*):
Kommentar(*):
 
  • May 14, 2011, 3:17 am - Steven

    Hallo,

    mag sein das icih mich irre. Aber beim Versuch Dazuko zu installieren, bekomme ich eine 'marked as broken' Meldung.
    Ich weis nicht ob das nur vorrübergehend so ist, sollte aber vllt berücksichtigt werden.

  • July 24, 2007, 9:02 am - Benedikt

    Hi Michael,
    Du kannst die Update-Funktion abschalten wenn du möchtest, empfehle ich dir aber nicht.
    Du solltest einfach eine Firewallregel anlegen, die Zugriff auf http://rkhunter....net erlaubt. Damit sollte das dann funktionieren.

    Dass er gehackt wurde ist nicht gut. Wie sind die auf deinen Server gekommen? Hattest du ihn nicht ausreichend geschützt oder war es ne Lücke in Plesk oder ne anderen Software?

    Schönen Gruß,
    Benedikt

  • July 24, 2007, 1:36 am - Michael

    Hallo Benedikt,

    danke für die schnelle Antwort.
    Ja, rkhunter ist bei Plesk (8.2.0) mit dabei. habe jetzt wieder jeglichen ausgehenden Traffic freigegeben, damit funktionierts wieder. rkhunter will auf dem Server http://rkhunter.sourceforge.net nachschauen, ob es einen aktualisierte Datei gibt. Dies war ja durch sperren des Traffics nicht möglich.
    Ich hatte das Problem, das der Server gehackt wurde und als Filesharingserver benutzt wurde und zusätzlich noch ausgehende DoS Attacken veranstaltete.
    Jetzt schaue ich mal die Tage,

    Gruß
    Michael

  • July 23, 2007, 8:16 am - Benedikt

    Hi Michael,
    Kenne mich mit Plesk leider nicht aus, aber kann es sein, dass du in der Firewall den Zugriff auf 127.0.0.1 auch in irgend einer Weise blockierst?

    Habe mal kurz gesuchmaschint und nur herausgefunden, dass rkhunter bei Plesk schon mit dabei ist. In dem Fall solltest du vielleicht mal bei SWSoft nachfragen. Auf der Website habe ich auch nix zu nem Port gehört.

    Ich bin mir nicht sicher ob rkhunter überhaupt einen Port benötigt, da es nicht als Dienst läuft, sondern meines Wissens nach nur Dateien prüft, ist ja kein Portscanner, aber vielleicht irre ich mich.

    Was bedeutet "wird nicht ausgeführt", das Update nicht oder garnix? Blockierst du den Datenverkehr von innen nach außen?

    Ich habe für rkhunter keinen Port freigegeben, blockiere aber auch keinen Verkehr von innen nach außen.

    Wenn du den Fehler findest wäre es schön wenn du es mir mitteilst. Schreib mir auch gerne ne E-Mail diesbezüglich...

    Gruß,
    Benedikt

  • July 23, 2007, 12:55 am - Michael

    Kann mir jemand sagen, über welchen Port (tcp, udp) rkhunter mit dem Server kommuniziert?

    Plesk 8.2 mit der internen Firewall.
    offene Ports nur die üblichen, Rest ist zu.

    Habe das Problem, das rkhunter nur ausgeführt wird, wenn der Rest der Ports offen ist, dies möchte ich aber nicht.

  • June 15, 2007, 6:45 pm - Benedikt

    Ich bin so blind... Danke dir! Jetzt funktionierts wie gewollt!

    RTFMC ;-)

    Gruß,
    Benedikt

  • June 15, 2007, 6:09 pm - Markus Mann

    Hallo!

    Sorry for the delay ];-) Ausprobiert habe ich das nicht (jedenfalls nicht für dazuko), aber hast du diesen Absatz aus der Manpage beachtet?

    <manpage="devfs.rules">
    One custom ruleset has to be enabled in /etc/rc.conf, otherwise it will not be applied to the /dev file system by the default system startup process. For example, to enable a ``localrules'' ruleset for the /dev file system, you would have to use something like this in your rc.conf file:

    devfs_system_ruleset="localrules"
    </manpage>

    Das setzt sich auch im

  • June 5, 2007, 7:23 pm - Benedikt

    @Markus Mann: Ich habe es mit devfs.rules probiert, aber das funktioniert bei mir auch nicht. Er setzt nicht einmal die Gruppe richtig. Hast du es bei dir probiert und es funktioniert?

    Gruß,
    Benedikt

  • June 5, 2007, 12:03 pm - Markus Mann

    Hallo!

    Stimmt auffällig: /etc/devfs.conf ist nur für Devices, die beim Booten schon existieren. Für später dazukommende kann man /etc/devfs.rules bemühen (ist leider eine Spur weniger intuitiv zu konfigurieren finde ich).

    Ciao.
    Markus Mann

  • June 1, 2007, 3:38 pm - Benedikt

    @Markus Mann: Ich habe das mal ausprobiert so wie du das beschrieben hast, aber es hat bei mir nichts geholfen.
    Ich kenne mich mit devfs nicht so gut aus, daher geht meine Vermutung bzgl. der Ursache dahin, dass devfs nicht mehr greift, da das Modul "manuell" über die rc.local geladen wird und devfs dann nicht mehr reagiert?

    Ich hatte versucht dazuko in den Ordner /boot/kernel zu kopieren und in die /boot/loader.conf "dazuko_enable='YES'" einzutragen, allerdings resultierte eine Kernel panic.

    Vielleicht kannst du mir näher erläutern, wie das machbar ist?
    Würde mich freuen wenn du auf mich zurück kämst.
    Gruß und danke für die Anmerkung,
    Benedikt

  • May 30, 2007, 4:00 pm - Markus Mann

    Hallo!

    Punkt 11 kann man IMHO eleganter lösen (zumindest seit FreeBSD 5 mit devfs). Man trägt in die /etc/devfs.conf ein:

    # Allow clamav everything on dazuko
    own dazuko clamav:clamav

    Damit erspart man sich die Änderung eines Startskriptes, das beim nächsten Update von clamav wieder jungfräulich würde.

    HTH & Ciao.
    Markus