Disfunctions.de

Das Blog der gnadenlosen Fehlfunktionen!

chkrootkit

Erstellt von Matthias am Sonntag 19. Dezember 2010

Um eine gewisse Sicherheit auf seinem Linux System zu bekommen, bzw. ab und an wenigstens auf ein paar Standard Probleme zu testen gibt es das kleine Programm chkrootkit. Dieses soll mögliche Rootkits und andere Einbruchsspuren erkennen und den Benutzer bzw. Systemadministrator darüber informieren. Mit chkrootkit kann man zwar einiges automatisch testen lassen, aber man sollte sich nie vollkommen auf nur ein Programm verlassen und immer selber wissen ob und wie man sein System abgesichert hat.

Bei den meisten Distributionen ist chkrootkit schon in den Standard-Paketquellen enthalten und mit der Paketverwaltung installierbar. Bei Ubuntu Desktop Systemen kann man chkrootkit einfach im Software-Center suchen und installieren. Alternativ und vor allem für Server Systeme installiert man es mittels:


sudo apt-get install chkrootkit

Anschließend führt man das Programm einfach nur noch auf dem Terminal aus:



sudo chkrootkit

Man muss keine Konfiguration oder ähnliches mehr vornehmen und bekommt relativ schnell umfangreiche Ergebnisse. Ein Beispiel für eine Ausgabe im Terminal kann man hier sehen.


root@system:~# chkrootkit
ROOTDIR is `/'
Checking `amd'... not found
Checking `basename'... not infected
Checking `biff'... not found
Checking `chfn'... not infected
Checking `chsh'... not infected
Checking `cron'... not infected
Checking `crontab'... not infected
Checking `date'... not infected
Checking `du'... not infected
Checking `dirname'... not infected
Checking `echo'... not infected
Checking `egrep'... not infected
Checking `env'... not infected
Checking `find'... not infected
Checking `fingerd'... not found
Checking `gpm'... not found
Checking `grep'... not infected
Checking `hdparm'... not found
Checking `su'... not infected
Checking `ifconfig'... not infected
Checking `inetd'... not infected
Checking `inetdconf'... not found
Checking `identd'... not found
Checking `init'... not infected
Checking `killall'... not infected
Checking `ldsopreload'... not infected
Checking `login'... not infected
Checking `ls'... not infected
Checking `lsof'... not infected
Checking `mail'... not infected
Checking `mingetty'... not found
Checking `netstat'... not infected
Checking `named'... not infected
Checking `passwd'... not infected
Checking `pidof'... not infected
Checking `pop2'... not found
Checking `pop3'... not found
Checking `ps'... not infected
Checking `pstree'... not infected
Checking `rpcinfo'... not infected
Checking `rlogind'... not found
Checking `rshd'... not found
Checking `slogin'... not infected
Checking `sendmail'... not infected
Checking `sshd'... not infected
Checking `syslogd'... not infected
Checking `tar'... not infected
Checking `tcpd'... not infected
Checking `tcpdump'... not infected
Checking `top'... not infected
Checking `telnetd'... not found
Checking `timed'... not found
Checking `traceroute'... not infected
Checking `vdir'... not infected
Checking `w'... not infected
Checking `write'... not infected
Checking `aliens'... no suspect files
Searching for sniffer's logs, it may take a while... nothing found
Searching for HiDrootkit's default dir... nothing found
Searching for t0rn's default files and dirs... nothing found
Searching for t0rn's v8 defaults... nothing found
Searching for Lion Worm default files and dirs... nothing found
Searching for RSHA's default files and dir... nothing found
Searching for RH-Sharpe's default files... nothing found
Searching for Ambient's rootkit (ark) default files and dirs... nothing found
Searching for suspicious files and dirs, it may take a while... nothing found
Searching for LPD Worm files and dirs... nothing found
Searching for Ramen Worm files and dirs... nothing found
Searching for Maniac files and dirs... nothing found
Searching for RK17 files and dirs... nothing found
Searching for Ducoci rootkit... nothing found
Searching for Adore Worm... nothing found
Searching for ShitC Worm... nothing found
Searching for Omega Worm... nothing found
Searching for Sadmind/IIS Worm... nothing found
Searching for MonKit... nothing found
Searching for Showtee... nothing found
Searching for OpticKit... nothing found
Searching for T.R.K... nothing found
Searching for Mithra... nothing found
Searching for OBSD rk v1... nothing found
Searching for LOC rootkit... nothing found
Searching for Romanian rootkit... nothing found
Searching for Suckit rootkit... nothing found
Searching for Volc rootkit... nothing found
Searching for Gold2 rootkit... nothing found
Searching for TC2 Worm default files and dirs... nothing found
Searching for Anonoying rootkit default files and dirs... nothing found
Searching for ZK rootkit default files and dirs... nothing found
Searching for ShKit rootkit default files and dirs... nothing found
Searching for AjaKit rootkit default files and dirs... nothing found
Searching for zaRwT rootkit default files and dirs... nothing found
Searching for Madalin rootkit default files... nothing found
Searching for Fu rootkit default files... nothing found
Searching for ESRK rootkit default files... nothing found
Searching for rootedoor... nothing found
Searching for ENYELKM rootkit default files... nothing found
Searching for anomalies in shell history files... nothing found
Checking `asp'... not infected
Checking `bindshell'... INFECTED (PORTS:  465)
Checking `lkm'... chkproc: nothing detected
Checking `rexedcs'... not found
Checking `sniffer'... lo: not promisc and no packet sniffer sockets
venet0: not promisc and no packet sniffer sockets
venet0:0: not promisc and no packet sniffer sockets
Checking `w55808'... not infected
Checking `wted'... chkwtmp: nothing deleted
Checking `scalper'... not infected
Checking `slapper'... not infected
Checking `z2'... chklastlog: nothing deleted

Eine Zeile ist immer so aufgebaut, das erst erkennbar ist, was getestet wird und anschließend das Ergebnis des jeweiligen Tests gut erkennbar ist. Alle Ergebnisse die mit Kleinbuchstaben geschrieben sind, entsprechen keinem Problem bzw. bedeuten, dass der Test negativ und somit gut ausgegangen ist. Wer sich das Beispiel oben genauer angesehen hat, sieht dass in Zeile 102 ein großes INFECTED steht. Wer so etwas bei sich sieht, sollte aufmerksam werden, aber auch nicht in Panik verfallen. Das gegeben Beispiel gibt nur an, dass hinter Port 465 etwas erreichbar ist, was genau ist aus den Ergebnissen nicht erkennbar. In unserem Fall ist hinter Port 465 einfach nur der SMTPS, also verschlüsseltes SMTP erreichbar, was überhaupt kein Problem darstellt und eher die Sicherheit beim Mail-Verkehr erhöht. Um so etwas zu wissen, muss man sein System eben kennen. Wer über ein Infected stolpert und sich dies nicht erklären kann, kann die Ausgabe auch einfach mal bei einer Suchmaschine seiner Wahl eingeben und bekommt so evtl. weitere Infos, oftmals handelt es sich eben wirklich um einen Fehlalarm.

Man kann chkrootkit auch als Cron-Job, z.b. wöchentlich ausführen lassen und die Ergebnisse sich per Mail zu schicken lassen, dies ist hier näher erklärt.

Alles in allem finde ich chkrootkit recht hilfreich um mögliche Probleme zu finden und einen Überblick zu erhalten. Was verwendet ihr noch um euer System in Schach zu halten, also außer die üblichen Mittel wie Logfiles im Auge behalten und ähnliches?

7 Kommentare zu “chkrootkit”


  1. linuxnetzer sagt:

    Ich empfehle, einen Blick auf rkhunter zu werfen (auch in den Paketquellen). Es ist umfangreicher, aber auch ein bisschen schwieriger von der Konfiguration zu handhaben, um false positives auszublenden.


  2. schmiddi sagt:

    Hey, schönes Tool. Danke für den Tipp.
    Bei der Formatierung der Ausgabe kriecht übrigens das Html raus 🙂


  3. Matthias sagt:

    Danke, das mit dem Html habe ich behoben… Hatte ich leider übersehen.


  4. z001 sagt:

    Sagt auch danke für den Tipp.
    Ich verwende noch das Programm
    einfach apt-get install bleachbit


  5. z001 sagt:

    Sory da hab ich was vergessen!

    Das Programm heißt bleachbit.
    Kann man als normaler user u. als root ausführen.
    Man kann mit dem Programm so einiges löschen.
    z.b. im Firefox den verlauf. u.s.w.
    Ich finde es sehr gut.

    lg z001


  6. z001 sagt:

    sory aber in deiner Beschreibung ist der Befehl sudo chkrootkitt
    falsch!
    Das 2. t muss weg.
    also so: sudo chkrootkit dann geht es auch.

    LG


  7. Matthias sagt:

    fixed. Danke!

Kommentar schreiben

XHTML: Sie können diese Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>