Rootkit Hunter für Ubuntu

HowTo: Ubuntu PC/Server auf Rootkits überprüfen

Malicious Software, also Software, die mit böswilliger Software Schaden auf dem Zielsystem anrichten soll, ist auf allen Betriebssystemen zu Hause, auch auf Linux. Ganz besonders bösartige Zeitgenossen sind sogenannte Rootkits, wie ihr diese ausfindig macht, das zeigen wir euch heute:

Rootkit Hunter für Ubuntu
Rootkit Hunter für Ubuntu

Neben Viren, Würmer, Spam, Phishing und sonstigen Angriffen auf euer System, sind Rootkits eine sehr unangenehme Möglichkeit, schadhaften Code auf eurem PC oder Server auszuführen, oder diesen im schlimmsten Fall sogar komplett fernzusteuern.

Rootkits, sofern sie vom Rootkit Hunter erkannt werden, auf die Spur zu kommen, ist jedoch ein recht einfaches Unterfangen. Der Rootkit Hunter ist in den Ubuntu Paketquellen vorhanden und kann einfach über Apt installiert werden:

sudo apt-get install rkhunter

Der Rootkit Hunter arbeitet mit einer Signaturdatenbank, die man vor dem ersten Check auf den aktuellen Stand bringen sollte, damit neuere Rootkits ebenfalls erkannt werden können:

sudo rkhunter –update

Ist die Datenbank auf dem aktuellen Stand, kann der Scan beginnen:

sudo rkhunter -c

Der Check verläuft in unterschiedlichen Schritten, erst wird nach Änderungen oder Auffälligkeiten bei Systemkommandos geschaut, bevor es dann an den Rootkit-Check geht und anschliessend weitere Malware- und Netzwerk-Checks durchgeführt werden. Der Rootkit Hunter legt für Systemdateien MD5 Hashs an und kann somit Veränderungen zwischen den Scans feststellen, auch fehlerhafte Dateiberechtigungen oder versteckten Dateien kommt man mit dem Rootkit Hunter zuverlässig auf die Spur.

Sind diese Überprüfungen durchgeführt worden, so kann man sich den Gesamtbericht unter /var/log/rkhunter.log  anschauen. Ausgegebene Warnungen werden beschrieben und sollten genauer betrachtet werden.

Für falsche Warnungen kann man Whitelist-Einträge anlegen, die dann im nächsten Scan ignoriert werden und somit keinen erneuten Fehlalarm auslösen. Beispiele zu Whitelist-Einträgen befinden sich in der Configdatei unter /etc/rkhunter.conf

Rootkit Hunter richtet sich primär an Administratoren, aber auch Endanwender, die eine Einzelplatzinstallation von Ubuntu nutzen, sollten ihren PC in regelmässigen Abständen einem Scan unterziehen!

Howto: Android Smartphone auf CarrierIQ ohne Root-Zugriff überprüfen

Carrier IQ, eine Software die das Nutzungsverhalten von Smartphonebenutzern aufzeichenen kann, ist in aller Munde. Auf über 140 Millionen Endgeräten soll die Software installiert sein, das bezieht sich nicht nur auf Android Smartphones. Offensichtlich wird die Software primär in den USA genutzt, ich habe noch von keinem Benutzer aus Deutschland gehört, der die Software auf seinem Gerät entdeckt hat.

Voodoo Carrier IQ Detection(Screenshot)
Voodoo Carrier IQ Detection(Screenshot)

Wer allerdings auf Nummer sicher gehen möchte und sein Gerät auf die Carrier IQ Software überprüfen will, der kann es mittels einer kleinen App aus dem Android Market tun. Die App „Voodoo Carrier IQ detector“ (Android Market Direktlink), benötigt keinen Root Zugriff um die App zu erkennen. Sollte CarrierIQ auf dem Gerät gefunden werden, braucht es allerdings Root-Zugriff um sich dieser zu entledigen. Benutzer von Mods, wie dem Cyanogen Mod, sind nicht betroffen, hier ist die Software nicht enthalten.

Was Carrier IQ alles aufzeichnet hat Trevor Eckhart in einem Video festgehalten, äusserst informativ und sehenswert:


YouTube Direktlink

Carrier IQ ist jedoch recht leicht zu finden, auch ohne die oben vorgestellte App, die Bezeichnung als „Rootkit“ ist hier etwas inflationär verwendet worden, denn Rootkits bestechen vor allem dadurch, dass sie nicht sichtbar ihre düstere Arbeit verrichten.

Was sagt ihr zum Carrier IQ Thema? Lasst es uns in den Kommentaren wissen!