Rootkit Hunter als 3rd-Party Applikation

Aus
Version vom 27. Juli 2009, 20:01 Uhr von QTip (Diskussion | Beiträge) (→‎Installation: Anpassung Rootkit Hunter 1.10)

Einleitung

Rootkit Hunter ist ein Tool zum Aufspüren von Rootkits, Backdoors und lokalen Exploits auf Linux Systemen. Folgende Tests werden durchgeführt:

  • MD5/SHA1 Hash Vergleich
  • Suche nach bekannen Rootkits
  • Überprüfung der Rechte von ausführbaren Dateien
  • Suche nach verstecksten Dateien
  • optional wird der Inhalt von Text und Binär Dateien gescannt

Vorraussetzungen

für Rootkit Hunter generell

  • Perl
  • diverse Utilities (find, wget, sed...)

für rkhunter.spk speziell

Download

aktuelle Version 1.00 rkhunter_1.00.spk

Installation

Bei der Installation des Paketes wird überprüft, ob IPKG und die IPKG-Pakete coreutils, findutils, file und lsof vorhanden sind. Sollte IPKG fehlen, wird die Installation abgebrochen. Beim Fehlen eines des IPKG-Pakete werden diese nachinstalliert. Hintergrund: Das in der Firmware vorhandene find ist nicht vollständig kompatibel bzw. bietet nicht alle Optionen, desweiteren fehlt sha1sum.

Nach Installation des Paketes bitte die DSM-Seite aktualisieren und im Bereich Third-party applications den Eintrag Rootkit Hunter aufrufen. Das Paket enthält die eigentlichen Rootkit Hunter Binärdateien nicht, deshalb müssen sie vom SPK heruntergeladen und installiert werden. Dies dauert, abhängig von eurer DiskStation, eine Weile. Im Anschluss der Installation wird eine Datenbankdatei von im System relevanten Dateien erstellt, welche für den späteren Vergleich herangezogen wird. Am Installationsende erscheint dann eine Meldung. Sollte Alles ordnungsgemäß verlaufen sein, wird durch Klick auf OK die Seite aktualisiert und die eigentliche Weboberfläche für den Rootkit Hunter erscheint. Scanner:

Rkhunter a.png

Bedienung

  • Start: startet den Scan, vorab erscheint eine Sicherheitsabfrage (Dauer ca. 5 Minuten, abhängig von eurer DiskStation)
  • Update: sucht nach Updates für die Module, läd runter und installiert sie, vorab erscheint eine Sicherheitsabfrage (Dauer ca. 5 Minuten, abhängig von eurer DiskStation)
  • Stop: hiermit ist es möglich, einen laufenden Scan oder Update abzubrechen. Klappt allerdings nicht immer, da die Weboberfläche den Befehl manchmal nicht an die Shell abschicken kann. In diesem Fall hilft es, wenn man die Weboberfläche kurz verläßt und anschließend wieder aufruft. Im Statusfenster ist dann ein laufender Scan zu erkennen. Drückt man nun auf Stop, wird zu 99,9% der Prozess sofort abgebrochen. Das sollte auch bei einem Scan per Cronjob funktionieren.
  • enable Cronjob: damit wird ein Eintrag in der crontab geschrieben, welchen den Scan zu einer vorgegeben Zeit automatisch durchführt (default täglich um 0:30 Uhr). Zum Anpassen der Zeit in der crontab empfehle ich crontabs.spk.
  • enable Desktop icon: erzeugt einen Eintrag für den Desktop im DSM (ab Version 2.1)

Die Auswertung des Logdatei bleibt jedem selber überlassen, Hilfen gibt es im Internet genug. Einige Warnungen können, wie oben erwähnt, ignoriert werden, Andere sollte man unbedingt beachten und ggf. beseitigen. Im Forum werden sicherlich der Eine oder Andere ihre Hilfe bei diversen Fragen anbieten.

Anmerkungen

Rootkit Hunter bietet die Möglichkeit eine automatische Mail bei Warnungen zu verschicken, die ich aber nicht aktiviert habe. Grund: Es gibt wiederkehrende Warnungen, welche bedingt durch das DiskStation-Linux immer angezeigt würden. Man bekäme dann nach jedem Lauf eine Email, obwohl sich am Zustand der DiskStation Nichts geändert hat. Im Logfenster sieht man immer das aktuelle Log. Da die Logs bei jedem Lauf (Scan, Update) überschrieben werden, sollte man sich nach einem Scan das Log immer gleich anschauen und wenn benötigt wegsichern. In einer nächsten Version werde ich noch eine Logverwaltung mit automatischem Vergleich einbauen. Nur bei einer Abweichung würde dann eine Email generiert und versendet werden. Dazu kommt dann noch eine Konfiguration der diversen Kommandozeilen-Schalter, also eine webbasierende Anpassung der rkhunter.conf.

Wie immer geht Alles auf eigene Kappe! Bei Problemen mit der Installation oder der Ausführung gebe ich im Forum gerne Hilfestellung.

Weblinks