centos

Malicious Software, also Software, die mit böswilliger Software Schaden auf dem Zielsystem anrichten soll, ist auf allen Betriebssystemen zu Hause, auch auf Linux. Ganz besonders bösartige Zeitgenossen sind sogenannte Rootkits, wie ihr diese ausfindig macht, das zeigen wir euch heute:

Neben Viren, Würmer, Spam, Phishing und sonstigen Angriffen auf euer System, sind Rootkits eine sehr unangenehme Möglichkeit, schadhaften Code auf eurem PC oder Server auszuführen, oder diesen im schlimmsten Fall sogar komplett fernzusteuern.

Rootkits, sofern sie vom Rootkit Hunter erkannt werden, auf die Spur zu kommen, ist jedoch ein recht einfaches Unterfangen. Der Rootkit Hunter ist in den Ubuntu Paketquellen vorhanden und kann einfach über Apt installiert werden:

sudo apt-get install rkhunter

Der Rootkit Hunter arbeitet mit einer Signaturdatenbank, die man vor dem ersten Check auf den aktuellen Stand bringen sollte, damit neuere Rootkits ebenfalls erkannt werden können:

sudo rkhunter –update

Ist die Datenbank auf dem aktuellen Stand, kann der Scan beginnen:

sudo rkhunter -c

Der Check verläuft in unterschiedlichen Schritten, erst wird nach Änderungen oder Auffälligkeiten bei Systemkommandos geschaut, bevor es dann an den Rootkit-Check geht und anschliessend weitere Malware- und Netzwerk-Checks durchgeführt werden. Der Rootkit Hunter legt für Systemdateien MD5 Hashs an und kann somit Veränderungen zwischen den Scans feststellen, auch fehlerhafte Dateiberechtigungen oder versteckten Dateien kommt man mit dem Rootkit Hunter zuverlässig auf die Spur.

Sind diese Überprüfungen durchgeführt worden, so kann man sich den Gesamtbericht unter /var/log/rkhunter.log anschauen. Ausgegebene Warnungen werden beschrieben und sollten genauer betrachtet werden.

Für falsche Warnungen kann man Whitelist-Einträge anlegen, die dann im nächsten Scan ignoriert werden und somit keinen erneuten Fehlalarm auslösen. Beispiele zu Whitelist-Einträgen befinden sich in der Configdatei unter /etc/rkhunter.conf

Rootkit Hunter richtet sich primär an Administratoren, aber auch Endanwender, die eine Einzelplatzinstallation von Ubuntu nutzen, sollten ihren PC in regelmässigen Abständen einem Scan unterziehen!

Wer immer auf dem aktuellen Stand sein möchte, kann sich sehr einfach per E-Mail über verfügbare Updates benachrichtigen lassen. Wie das geht zeigen wir euch in diesem kleinen HowTo.

Debians/Ubuntus Paketverwaltung Apt hat den wunderbaren Vorteil, dass man alle Programme an einer zentralen Stelle verwalten und auf dem aktuellen Stand halten kann. Hier spielt Linux seinen Vorteil gegenüber Windowssystemen klar aus und ist durch die unterschiedlichsten Distributionen hinweg, mit verschiedenen Paketverwaltungen wie Apt, Yum usw. ausgestattet.

Installiert man ein Ubuntu Desktopsystem, so bekommt man verfügbare Updates grafisch angezeigt, bei Systemen ohne X-Server, also primär Servern, muss man sich einloggen, um verfügbare Updates angezeigt zu bekommen. Möchte man sich nicht immer auf alle eigenen Server erst einloggen, um zu sehen ob es Paketupdates gibt, so kann man sich bequem per E-Mail benachrichtigen lassen. Das Mittel zum Zweck lautet hier: Apticron

Apticron ist ein kleines Skript, dass auf verfügbare Updates prüft und anschliessend eine Mail versendet. In der E-Mail Nachricht stehen die verfügbaren Pakete, sowie die Changelogs und man bekommt angezeigt, um welches System es sich handelt. So hat man eine gute Übersicht darüber, was einen erwartet und kann entsprechend reagieren.

Apticron ist in den Ubuntu Quellen vorhanden und kann mittels: sudo apt-get install apticron installiert werden. Anschliessend bearbeitet ihr die Configdatei /etc/apticron/apticron.conf und tragt dort die E-Mail Adresse ein, an die ihr die Benachrichtigungen senden wollt. Ändert hierzu den Eintrag EMAIL=“root“ in EMAIL=“Adresse@euredomain.de“ ab.

Abschliessend müsst ihr einen Cron-Eintrag anlegen, das geht mittels crontab -e, wer die Syntax nicht kennt, der kann den Crontab-Generator nutzen und sich sehr einfach den kompletten Eintrag erstellen lassen. Folgender Eintrag würde täglich um 12 Uhr nach Updates prüfen und bei verfügbaren Updates eine E-Mail versenden:

0 12 * * * /usr/sbin/apticron

Bequemer geht es doch kaum, oder?

nodch.de

HowTo: Ubuntu PC/Server auf Rootkits überprüfen

HowTo: Ubuntu Updatebenachrichtigungen automatisch per E-Mail erhalten