Linux: Hintertüren finden

Download PDF

Das es keine relevanten Viren für Linux gibt, ist bekannt, bei SQL Datenbanken sieht es schon anders aus und root Zugänge sind natürlich sehr beliebt. Da der root Zugang alle Berechtigungen in einen Linux System besitzt (vergleichbar dem Administrator in Windows) gibt es natürlich auch Schadprogramme, die genau einen solchen Zugang einrichten bzw. nutzen wollen. Schadprogramme dieser Art nennt Admina ‚rootkits‘. Aber wie im Automarkt, so gibt es auch zwischen verschiedenen Programmierergruppen konkurrenzen, verschiedene Schwerpunkte und Absichten, und damit auch viele verschiedene rootkits.

Rkhunter ist ein kleines Programm,

  • dass nach verschiedenen rootkits in einen Linux/Unix/BSD System sucht,
  • offensichtlich manipulierte Daten anzeigt,
  • geöffnete ports notiert,
  • dubiose unsichtbare Ordner und Dateien meldet
  • und auch verschiedene Programme, mit denen grundsätzlich ein Zugriff auf das System möglich wäre (SSH, Apache) auf Schwächen analysiert
  • und zum Abschluss ein sehr brauchbares Protokoll unter /var/log (auf Kubuntu) ablegt.

Die Überprüfung des Systems mit rkhunter ist sehr einfach: Nachdem dieses Programm – wie jedes andere Programm unter Linux – installiert wurde,rufen wir es (lt. Projektseite unter einer bash console) mit der Option –update auf, damit es die neuesten Schadprogramm Definitionen vom Projektsserver über das Internet ziehen kann:

sudo rkhunter --update

Danach starten wir rkhunter mit der Option –check und schauen fasziniert zu, in welchen Ecken das Script nach Unregelmäßigkeiten sucht. Einzelne abgeschlossene Vorgänge müssen mit der Enter- Taste bestätigt werden, damit rkhunter weitermacht:

sudo rkhunter --check

Letztlich gibt rkhunter ein sehr umfassendes Protokoll unter /var/log heraus, dass sehr schön als Beleg für einen Sicherheits SLA dienen kann:

sudo less /var/log/rkhunter.log

Entsprechend pingelig ist natürlich das Protokoll auszuwerten, aber nicht jede Warnung darin ist gleich eine Neuinstallation wert – hier kann es Sinn machen, einschlägige Foren aufzusuchen, um zu recherchieren, wie andere Admina’s mit den Warnungen umgehen.

Wenn Admina also

  • Dienste abschaltet und Benutzer löscht, die nicht mehr gebraucht werden,
  • regelmäßige Updates der eingesetzten Distribution macht,
  • wenigstens einmal wöchentlich einen Servercheck durchführt,
  • und regelmäßig rkhunter drüberlaufen läßt,

hat man es den Buben von der rootkit Fraktion – auch der staatlichen Art – etwas schwieriger gemacht. Zumindest hat Admina ein viel besseres Sicherheitsgefühl.

Have fun …

Hinterlasse einen Kommentar

Hinterlasse den ersten Kommentar!

Benachrichtige mich zu:
avatar
1000
wpDiscuz