Rootkit Hunter als 3rd-Party Applikation

Aus Synology Wiki
Wechseln zu: Navigation, Suche

Einleitung

Rootkit Hunter ist ein Tool zum Aufspüren von Rootkits, Backdoors und lokalen Exploits auf Linux Systemen. Folgende Tests werden durchgeführt:

  • MD5/SHA1 Hash Vergleich
  • Suche nach bekannen Rootkits
  • Überprüfung der Rechte von ausführbaren Dateien
  • Suche nach versteckten Dateien
  • optional wird der Inhalt von Text und Binär Dateien gescannt

Voraussetzungen

für Rootkit Hunter generell

  • Perl
  • diverse Utilities (find, wget, sed...)

für rkhunter.spk speziell

Download

aktuelle Version 1.10 rkhunter_1.10.spk

Installation

Bei der Installation des Paketes wird überprüft, ob IPKG und die IPKG-Pakete coreutils, findutils, file und lsof vorhanden sind. Sollte IPKG fehlen, wird die Installation abgebrochen. Beim Fehlen eines des IPKG-Pakete werden diese nachinstalliert. Hintergrund: Das in der Firmware vorhandene find ist nicht vollständig kompatibel bzw. bietet nicht alle Optionen, desweiteren fehlt sha1sum.

Nach Installation des Paketes bitte die DSM-Seite aktualisieren und im Bereich Third-party applications den Eintrag Rootkit Hunter aufrufen. Das Paket enthält die eigentlichen Rootkit Hunter Binärdateien nicht, deshalb müssen sie vom SPK heruntergeladen und installiert werden. Dies dauert, abhängig von eurer DiskStation, eine Weile. Im Anschluss der Installation wird eine Datenbankdatei von im System relevanten Dateien erstellt, welche für den späteren Vergleich herangezogen wird. Am Installationsende erscheint dann eine Meldung. Sollte Alles ordnungsgemäß verlaufen sein, wird durch Klick auf OK die Seite aktualisiert und die eigentliche Weboberfläche für den Rootkit Hunter erscheint.

Bedienung

Tab "Scanner"

Fehler beim Erstellen des Vorschaubildes: Die Miniaturansicht konnte nicht am vorgesehenen Ort gespeichert werden
  • Start: startet den Scan, vorab erscheint eine Sicherheitsabfrage (Dauer ca. 5 Minuten, abhängig von eurer DiskStation)
  • Update: sucht nach Updates für die Module, läd runter und installiert sie, vorab erscheint eine Sicherheitsabfrage (Dauer ca. 5 Minuten, abhängig von eurer DiskStation)

Ein Update der Dateieigenschaften-Datenbank sollte nach folgenden Aktionen durchgeführt werden:

   * Änderungen an der rkhunter.conf durch den Rootkit Hunter Konfigurationseditor
   * Nach einem Update der Firmware
   * Nach einer Neuinstallation vom Rootkit Hunter (Wechsel zu oder von STABLE/CVS oder Erstinstallation/Aktualisierung des rkhunter.spk)
  • Stop: hiermit ist es möglich, einen laufenden Scan oder Update abzubrechen. Klappt allerdings nicht immer, da die Weboberfläche den Befehl manchmal nicht an die Shell abschicken kann. In diesem Fall hilft es, wenn man die Weboberfläche kurz verläßt und anschließend wieder aufruft. Im Statusfenster ist dann ein laufender Scan zu erkennen. Drückt man nun auf Stop, wird zu 99,9% der Prozess sofort abgebrochen. Das sollte auch bei einem Scan per Cronjob funktionieren.
  • enable Cronjob: damit wird ein Eintrag in der crontab geschrieben, welchen den Scan zu einer vorgegeben Zeit automatisch durchführt (default täglich um 0:30 Uhr). Zum Anpassen der Zeit in der crontab empfehle ich cronjobs.spk.
  • enable Desktop icon: erzeugt einen Eintrag für den Desktop im DSM (ab Version 2.1)
  • use CVS version: Wahl zwischen STABLE oder CVS Version, Verzeichnis rkhunter mit den Binärdateien wird nach einer Sicherheitsabfrage gelöscht, entsprechende Version wird heruntergeladen und installiert.
  • Check: prüft auf eine neue Version (STABLE oder CVS) und bietet bei einer neuen Version einen automatischen Download mit anschließender Installation an.

Tab "Configuration"

Fehler beim Erstellen des Vorschaubildes: Die Miniaturansicht konnte nicht am vorgesehenen Ort gespeichert werden

Hier kann die Konfigurationsdatei rkhunter.conf bequem über das Webinterface angepasst werden. Eine einfache Undo-Funktion kann die letzte Speicherung rückgäng machen.

  • Reload: Läd die rkhunter.conf komplett neu, alle Änderungen gehen verloren, vorab erscheint eine Sicherheitsabfrage.
  • Save Option: Speichert die Ändrungen nur im aktuellen Abschnitt, vorab erscheint eine Sicherheitsabfrage. Nach Auswahl eines neuen Abschnitts gehen durchgeführte Änderungen verloren.
  • Undo configuration: hiermit wird die letzte Speicherung rückgängig gemacht, vorab erscheint eine Sicherheitsabfrage.
  • Help: bietet eine Anzeige der möglichen Tests und Sprachen an. Dies wird für die Konfiguration des Abschnittes ENABLE_TESTS und LANGUAGE benötigt.

Wichtig: Der Aufbau der rkhunter.conf ist an einen vorgeschriebenen Rahmen geknüpft, ohne Diesen es nicht möglich gewesen wäre, den Konfigurationseditor in dieser Form zu realisieren. Änderungen an der rkhunter.conf bitte nur durch den eingebauten Rootkit Hunter Konfigurationseditor durchführen. Ansonsten könnte es zu unerwünschten Einträgen kommen und die rkhunter.conf unbrauchbar machen.

Logfile management

Hier erscheinen alle erstellen Logdateien von Rootkit Hunter. Nach Auswahl eines Eintrags in der Liste erscheint in der Fenster Log view der entsprechende Inhalt. Die folgende Logdateien existieren:

Dateiname Beschreibung
rkhunter_YYYY-MM-DD_HHMMSS.log Logdatei nach einem Scan der manuell gestartet wurde
rkhcrond_YYYY-MM-DD_HHMMSS.log Logdatei nach einem Scan der per Cronjob gestartet wurde
rkh-inst_YYYY-MM-DD_HHMMSS.log Logdatei nach einer Installation
rkh-warn_YYYY-MM-DD_HHMMSS.log Logdatei durch Warnungen nach einem Scan
rkhupddb_YYYY-MM-DD_HHMMSS.log Logdatei nach einem Update der Rootkit Hunter Module
rkhupdat_YYYY-MM-DD_HHMMSS.log Logdatei nach einer Aktualisierung der Dateieigentschaften

Mail-on-Warning

Ein neues "mail-on-warning"-Script wurde integriert, um die Mailfunktion auch für Benutzer zu ermöglichen, welche kein Tool wie z.B. sendmail installiert haben oder nicht installieren möchten. Das "mail-on-warning"-Script wurde durch Einbindung eines externen Perlscriptes ermöglicht, welches natürlich eine GPL-Lizenz besitzt. Die Daten für den EMail-Versand holt sich das Script aus der synoinfo.conf. Dazu muss die Benachrichtigungsfunktion unter System - Benachrichtigung im DSM aktiviert sein. Eine EMail wird nur generiert, wenn Warnungen im letzten Scan gemeldet wurden. Enthält die letzte Logdatei Warnungen, werden Diese zusätzlich in einer Logdatei festgehalten. Diese Logdatei wird dann als Anhang der EMail mitgeschickt. Ein User der keine Benachrichtigung aktiviert hat, kann die Logdatei in der Logdateien Verwaltung einsehen.

Anmerkungen

Im Anschluss einer Installation des Rootkit Hunter Paketes (nicht des SPK) wird automatisch ein Update der Module durchgeführt. Die Version 1.10 des SPK-Paketes kann als Neuinstallation oder als Aktualisierung von Version 1.00 benutzt werden. Im Anschluss bitte 1x das DB Update durchführen, da sich die rkhunter.conf geändert hat.

Wie immer ist die Benutzung Jedem selbst überlassen und auf eigene Gefahr! Bei Problemen mit der Installation oder der Ausführung gebe ich im Forum gerne Hilfestellung.

Weblinks