Virenscanner & Rootkithunter

Viren und Rootkits sind zwar hauptsächlich für Windows-Systeme ein Problem, aber wir sollten dennoch nicht vergessen, dass auch Windows-Clients Zugriff auf unseren Server haben, und wir wollen doch keine Virenschleuder einrichten...

X. Aus zweiter Hand 0. Admins haften!! 1. Grundlagen 2. Installation 3. Software-Raid mit gmirror 4. Shell anpassen 5. SSH anpassen 6. Software updaten 7. Zeitsynchronisation per NTP 8. Firewall mit pf 9. Viren- & Rootkitscanner 10. Jails mit EzJail 11a. Apache, PHP5, SSL 11b. lighttpd statt Apache 12. mySQL 13. Filetransfer mit SFTP 14. Mailserver 15. Fight spam mit spamd 16. DNS-Server: MaraDNS 17. Hardware-Monitoring 18. Software-Monitoring 19. Wartung und Systempflege 20. Backup 22. Snort als IDS 23. SVN: svnserve 24. Windows-Shares: Samba 25. VPN 26. knockd - Portknocking 29. iTunes-Server in a Jail

HINWEIS: Aufgrund der letzten Umstrukturierungen haben sich teilweise Änderungen in der Abfolge ergeben, sodass es zu unerwarteten Fehlermeldungen kommen kann. So auch in diesem Tutorial. Du brauchst für den Virenscanner die Kernel-Quellen. Wie du diese für dein System installierst findest du unter Punkt 3 bis 5 unter "Jails mit EzJail". 

Um einen sogenannten "OnAccess-Virenscanner" zu installieren, brauchen wir unter FreeBSD das Modul "Dazuko". Dieses ermöglicht uns den OnAccess-Zugriff, ist also alleine kein Virenscanner. Als Virenscanner verwenden wir den OpenSource-Scanner "ClamAV". Der OnAccess-Scan ist noch experimentell, daher teste es erst auf deinem System bevor du es in den Produktiveinsatz übernimmst.

1. Um beim Starten eines der Dienste später keinen Fehler bzgl. einer nicht vorhandenen 'libc.so.5' zu erhalten, erstellen wir einfach einen (Soft-)Link auf die 'libc.so.6', die sich im Verzeichnis '/lib' befindet:
   
   # ln -s libc.so.6 libc.so.5
   
   
2. Zunächst kompilieren wir das Modul 'Dazuko' aus den Ports, da ich mit dem Package ein Problem hatte. Es wurde bei mir nicht sauber installiert.
   
   # cd /usr/ports/security/dazuko && make install clean
   
   Hinweis: Unbedingt die Hinweise während der Installation beachten, wie das Modul geladen werden muss!
   
   
3. Jetzt laden wir das Modul, falls das nicht während der Installation passiert ist:
   
   # kldload dazuko
   
   
4. Um das Modul beim Systemstart zu laden, editieren wird die Datei '/etc/rc.local' und schreiben folgende Zeile hinein:
   
   /usr/sbin/kldload dazuko
   
   
5. Aus den Ports installieren wir jetzt den ClamAV. Dieser befindet sich im Verzeichnis '/usr/ports/security/clamav'. Um den OnAccess-Scan zu nutzen, müssen wir die Datei "Makefile" bearbeiten und zwar die Zeile "--disable-clamuko" löschen oder duch "--enable-clamuko" ersetzen.
   
   # make install clean
   
   Wir müssen nun '/dev/dazuko' noch an den Benutzer "clamav" übergeben:
   
   # chown clamav:clamav /dev/dazuko
   
6. Für etwas Verwirrung sorgen manchmal (bei mir zumindest ) die verschiedenen Programme, die zu ClamAV gehören. Hier also eine kurze Übersicht welches Programm welche Aufgaben übernimmt:
   • clamd: Das ist der Daemon, der im Hintergrund auf Virenprüft. Dieser wird später auch "OnAccess" scannen.
   • clamscan: Hiermit kannst du Dateien manuell scannen lassen. Du hast bspw. eine Datei heruntergeladen und willst diese auf Viren prüfen, dann nimmst du den clamscan.
   • freshclam: Dieser Dienst hält deine Virendatenbank auf dem aktuellen Stand. Er wird auch im Hintergrund laufen und in einem festgelegten Rhythmus die Datenbank aktualisieren.
   • clamdscan: Dies ist ein clamd-Client. Er macht das gleiche wie auch das Programm clamscan, hängt aber nur vom clamd ab.
   • clamuko: Ist die OnAccess-Unterstützung. Sie muss in der clamd.conf aktiviert werden.
     
     
7. Zu allererst passen wir die Konfiguration des Update-Dienstes "freshclam" an. Wir passen also die Datei '/usr/local/etc/freshclam.conf'. Die Datei ist gut kommentiert, ich sage dir nur was ich geändert habe:
   
   • DNSDatabaseInfo current.cvd.clamav.net
   • DatabaseMirror db.de.clamav.net
   • ScriptedUpdates yes
   • OnErrorExecute mail -s "FreshClam-Fehler: Update Fehler!" email@adresse.de
     Im Falle eines Update-Fehlers, erhalte ich eine eMail.
   
   Nach dem Speichern kannst du die Konfiguration an freshclam übergeben und gleichzeitig prüfen, dass du keinen Fehler gemacht hast:
   
   # freshclam
   
   
8. Abschließend müssen wir noch den ClamAV konfigurieren. Das erfolgt über die Datei '/usr/local/etc/clamd.conf'. Ich verwende hier die Default-Konfiguration. Lediglich die Clamuko-Konfiguration habe ich wie folgt angepasst:
   
   • VirusEvent mail -s "Virus gefunden: %v" email@adresse.de
   • ClamukoScanOnAccess yes
   • ClamukoScanOnOpen yes
   • ClamukoScanOnClose yes
   • ClamukoScanOnExec yes
   • ClamukoIncludePath /
   • ClamukoExcludePath /proc
     Alle Verzeichnisse (Unterverzeichnisse sind dann eingeschlossen) solltest du in jeweils eine Zeile schreiben. Andere Verzeichnisse, die du ausschließen könntest, wären bspw. '/dev' oder '/cdrom' oder '/usr/ports'.
   
   HINWEIS: Du solltest, wenn du mit den Ports arbeitest, das Verzeichnis '/usr/ports' unbedingt ausschließen. Überlege dir auch genau, welche der "On-"-Funktionen zu verwenden willst. So wie ich es hier darstelle, ist die Prozessorlast maximal und das Entpacken der Ports bspw. dauert sehr sehr lange. Je nach Rechenleistung solltest du dir das also überlegen.
   
   
9. Damit Freshclam und Clamd beim Systemstart auch starten, tragen wir noch folgende Zeilen in die '/etc/rc.conf' ein:
   

   clamav_clamd_enable="YES"
   clamav_freshclam_enable="YES"

10. Anschließend starten wir den "clamd" neu, sodass die Konfiguration bekannt ist:
    
    # /usr/local/etc/rc.d/clamav-clamd.sh restart
    
    
11. Wenn das dazuko-Modul geladen wird, wird ein Device '/dev/dazuko' angelegt, allerdings hat es die falschen Berechtigungen. Jetzt gibt es zwei Möglichkeiten dies zu beheben, wobei ich festhalten muss, dass die zweite eleganter und empfehlenswert ist.
    
    1) Erstelle eine Datei '/usr/local/etc/dazuko-fixown.sh' und schreibe folgende Zeilen hinein:
    

    DAZUKO_DEVICE=/dev/dazuko
    if [ -e $DAZUKO_DEVICE ]; then
    chown clamav:clamav /dev/dazuko
    fi

    Jetzt sorgen wir noch dafür, dass das Skript ausführbar ist und nach dem Laden des dazuko-Moduls gestartet wird. Dies erreichen wir indem wir folgende Zeile in die Datei '/etc/rc.local' NACH der Zeile '/usr/sbin/kldload dazuko' eintragen:
    

    /usr/local/etc/dazuko-fixown.sh

    Anschließend, um es ausführbar zu machen, geben wir noch folgenden Befehl ein:
    
    # chmod u+x /usr/local/etc/dazuko-fixown.sh
    
    Damit wird bewirkt, dass das Dazuko-Device dem richtigen Besitzer gehört.

---

2) (besser!!): Trage in die Datei '/etc/devfs.rules' folgende Zeile ein (Danke an Markus Mann):


[localrules=10]
add path 'dazuko' mode 0700 user clamav group clamav

Jetzt müssen wir die Regel noch in der '/etc/rc.conf' eintragen, sodass sie auch verwendet werden kann. Dafür tragen wir in die rc.conf folgende Zeile:

devfs_system_ruleset="localrules"

Jetzt kannst du entweder den Server neustarten oder das Modul entladen, devfs neustarten, das dazuko-Modul wieder laden und die Berechtigung im Verzeichnis '/dev' überprüfen:

# kldunload dazuko

# /etc/rc.d/devfs restart

# kldload dazuko

# ls -la | grep dazuko

 

Jetzt haben wir den Virenscanner schonmal erfolgreich am Laufen. Sehr gut. Als weiteren Schritt installieren wir nun noch den "Rootkit Hunter" (kurz: RkH). Dieser wird unseren Server regelmäßig nach Rootkits durchsuchen.

ACHTUNG: Der Rootkit Hunter SUCHT nach Hinweisen auf Rootkits, er entfernt sie aber NICHT! Warum nicht? Nun, auch eine sehr gute Software kann Fehler machen und auf einem Server kann das große Schäden verursachen. In der Readme/FAQ des RkH stehen viele wichtige Hinweise dazu, was zu tun ist wenn der Hunter anschlägt!

1. Wir installieren auch den Rootkit Hunter über die Ports:
   
   # cd /usr/ports/security/rkhunter && make install clean
   
   
2. Wie du den Installationshinweisen entnehmen kannst, müssen wir folgende Zeilen in die Datei '/etc/periodic.conf' einfügen, um die Definitionen aktuell zu halten:
   

   daily_rkhunter_update_enable="YES"
   daily_rkhunter_check_enable="YES"

3. Jetzt müssen wir den RkH noch konfigurieren. Dafür müssen wir die Konfigurationsdatei '/usr/local/etc/rkhunter.conf' anpassen. Schau dir die Kommentare in der Beispieldatei an und passe sie an deine Bedürfnisse an. Ziehe auch die Website/das Handbuch zu Rate.
   Für mich erstmal wichtig ist die Option "MAIL-ON-WARNING". Hier trage deine eMail-Adresse ein, an die Benachrichtigungen geschickt werden sollen. Das ist sehr wichtig! Anschließend sollten wir noch ein Update machen:
   
   # rkhunter --update

Ein weiteres Tool ist "chkrootkit". Dieses ist vielleicht noch bekannter als der Rootkit Hunter. Doppelt genäht hält besser, daher setzen wir dieses Tool auch noch ein. Installieren ist ganz einfach:

1. Wir installieren das Tool wie gewohnt aus den Ports:
   
   # cd /usr/ports/security/chkrootkit/ && make install clean
   
   
2. Starten können wir "chkrootkit" mit folgendem Befehl. Es werden alle Tests durchgeführt:
   
   # /usr/local/sbin/chkrootkit
   
   Mit folgendem Befehl kannst du dir die verfügbaren Tests ausgeben lassen, die du dann per Parameterübergabe auch einzeln aufrufen kannst:
   
   # /usr/local/sbin/chkrootkit -l
   
   
3. Abschließend würde ich noch empfehlen, einen Cronjob einzurichten, der täglich auf Rootkits prüft. Ich rate allerdings den Test nicht gleichzeitig mit RKHunter laufen zu lassen.