Agentur für Neue Medien


Rootkit aufspüren

Man sollte regelmäßig überprüfen, ob der eigene Server eventuell mit einem Rootkit infiziert wurde.

Für Linux-Server gibt es dazu zwei sehr praktische Progamme, mit denen man nach Anzeichen für solche Rootkits suchen kann. Beide Programme lassen sich sehr einfach über YAST installieren. Da beide Programme u.a. auch mit Checksummen von Dateien arbeiten, sollten beide Programme möglichst frühzeitig auf dem Server installiert werden, da bereits infizierte Systeme dann nicht mehr erkannt werden können.

chkrootkit

Nach der Installation, kann man einfach mit dem Aufruf von chkrootkit eine ganze Reihe von Tests durchlaufen lassen, die nach Anzeichen von rootkits suchen.

Sollte dabei die Meldung Checking `bindshell'... INFECTED (PORTS:  465) erscheinen, kann man dies getrost ignorieren, da der Port 465 von Plesk verwendet wird.

rkhunter

Auch rkhunter macht im Prinzip das Gleiche wie chkrootkit. Dazu einfach rkhunter -c aufrufen. Außerdem kann man rkhunter auch in einem "Cronjob"-Modus ausführen, so dass nur Warnungen ausgegeben und z.B. per Mail an den Administrator verschickt werden. Der Cronjob eintrag sieht dann z.B. so aus:

/usr/bin/rkhunter --cronjob --update --report-warnings-only

Mit dem Parameter --update wird außerdem auch immer ein Update der Rootkit-Signaturen durchgeführt, so dass man immer auf dem aktuellen Stand ist.

Eventuell muss man noch die /etc/rkhunter.conf anpassen. So muss auf einem Plesk-Server z.B. eventuell noch einige xinet-Deamons hinzugefügt werden:

XINETD_ALLOWED_SVC=/etc/xinetd.d/ftp_psa /etc/xinetd.d/poppassd_psa /etc/xinetd.d/smtp_psa /etc/xinetd.d/smtps_psa /etc/xinetd.d/submission_psa

 

Und auch die Meldung über einige versteckte Verzeichnisse die zu Plesk gehören sollten abgeschaltet werden mit:

ALLOWHIDDENDIR="/dev/.udev /dev/.udevdb /dev/.udev.tdb"

 

Sollte eventuell die Warnung erscheinen, dass für eine Datei kein Hash-Wert existiert, muss man eventuell mit dem Befehl prelink -avmR die Hash-Werte neu erstellen lassen.

Auf jeden Fall sollte man nach dem Ändern der Config-Datei noch die Hash-Werte aktualisieren mit:

rkhunter --propupd

 

Kommentare

Keine Kommentare
Kommentar hinzufügen

* - Pflichtfeld

*




*
*
Über uns
|
Leistungen
|
Referenzen
|
Service
|
Kontakt 

Copyright © SKom 2006

 Ecke rechts unten