Viren und Rootkits sind zwar hauptsächlich für Windows-Systeme ein Problem, aber wir sollten dennoch nicht vergessen, dass auch Windows-Clients Zugriff auf unseren Server haben, und wir wollen doch keine Virenschleuder einrichten...

HINWEIS: dazuko wird von aktuellen FreeBSD Versionen nicht mehr unterstützt, da sich ein solcher Virenscanner für FreeBSD nicht etabliert hat. Falls du einzelne Verzeichnisse prüfen lassen willst, solltest du ClamAV nutzen und einen entsprechenden Cronjob einrichten. Um Verwirrungen zu vermeiden habe ich das Tutorial daher entfernt.

ACHTUNG: Der Rootkit Hunter SUCHT nach Hinweisen auf Rootkits, er entfernt sie aber NICHT! Warum nicht? Nun, auch eine sehr gute Software kann Fehler machen und auf einem Server kann das große Schäden verursachen. In der Readme/FAQ des RkH stehen viele wichtige Hinweise dazu, was zu tun ist wenn der Hunter anschlägt!

  1. Wir installieren auch den Rootkit Hunter über die Ports:

    # cd /usr/ports/security/rkhunter && make install clean

  2. Wie du den Installationshinweisen entnehmen kannst, müssen wir folgende Zeilen in die Datei '/etc/periodic.conf' einfügen, um die Definitionen aktuell zu halten:

    daily_rkhunter_update_enable="YES"
    daily_rkhunter_check_enable="YES"
  3. Jetzt müssen wir den RkH noch konfigurieren. Dafür müssen wir die Konfigurationsdatei '/usr/local/etc/rkhunter.conf' anpassen. Schau dir die Kommentare in der Beispieldatei an und passe sie an deine Bedürfnisse an. Ziehe auch die Website/das Handbuch zu Rate.
    Für mich erstmal wichtig ist die Option "MAIL-ON-WARNING". Hier trage deine eMail-Adresse ein, an die Benachrichtigungen geschickt werden sollen. Das ist sehr wichtig! Anschließend sollten wir noch ein Update machen:

    # rkhunter --update


Ein weiteres Tool ist "chkrootkit". Dieses ist vielleicht noch bekannter als der Rootkit Hunter. Doppelt genäht hält besser, daher setzen wir dieses Tool auch noch ein. Installieren ist ganz einfach:

  1. Wir installieren das Tool wie gewohnt aus den Ports:

    # cd /usr/ports/security/chkrootkit/ && make install clean

  2. Starten können wir "chkrootkit" mit folgendem Befehl. Es werden alle Tests durchgeführt:

    # /usr/local/sbin/chkrootkit

    Mit folgendem Befehl kannst du dir die verfügbaren Tests ausgeben lassen, die du dann per Parameterübergabe auch einzeln aufrufen kannst:

    # /usr/local/sbin/chkrootkit -l

  3. Abschließend würde ich noch empfehlen, einen Cronjob einzurichten, der täglich auf Rootkits prüft. Ich rate allerdings den Test nicht gleichzeitig mit RKHunter laufen zu lassen.