|
|
| Zeile 1: |
Zeile 1: |
| Viren unter Linux? Gibt es das? Sicherlich gibt es nur wenige Linuxviren. Hier sprechen wir eher von Rootkits, die im Hintergrund ihr unerwünschtes Dasein fristen können und einen Server kompromittieren. Viren selbst sind nur dahingegen interessant, da diese eventuell auf einen Webserver in ein Uploadverzeichnis landen können und Usern Schaden zufügen, die diese Datei wieder auf ihren Windows Rechner herunterladen. Dies kann in Form von Bildern, gepackten Dateien etc. passieren.<br><br>
| | Das Tutorial wurde nach Gargi.org verschoben: https://www.gargi.org/index.php?title=Auf_Viren_und_Rootkits_pr%C3%BCfen |
| Wir wollen hier nun zwei Möglichkeiten besprechen, regelmäßig ein Auge auf diese mögliche Bedrohung zu werfen. Das Tutorial wir hier zwei Schädlingsbekämpfer betrachten:
| |
| :# Der [http://rkhunter.sourceforge.net/ rkhunter] (Rootkit Hunter)
| |
| :# [http://www.clamav.net/ ClamAV] Der Linux Virenscanner | |
| <br>
| |
| ==rkhunter==
| |
| Den rkhunter installieren wir mit einem
| |
| <code><pre>apt-get install rkhunter</pre></code>
| |
| Editiert zuerst die '''/etc/rkhunter.conf''':
| |
| <code><pre>nano /etc/rkhunter.conf</pre></code>
| |
| Den Parameter <br><br>
| |
| '''ALLOW_SSH_ROOT_USER=no'''
| |
| <br><br>
| |
| setzt auf yes:<br><br>
| |
| '''ALLOW_SSH_ROOT_USER=yes'''
| |
| <br><br>
| |
| Eure E-MAil Adresse könnt Ihr beim Parameter '''MAIL-ON-WARNING=''' festlegen. Ihr bekommt dann eine Mail, sollte der rkhunter etwas Verdächtiges gefunden haben. Speichert die Änderung ab.<br><br>
| |
| Nach der Installation lassen wir gleich mal ein
| |
| <code><pre>rkhunter -C</pre></code>
| |
| los, um die Config zu prüfen. Danach kann die Datenbank mit den installierten Dateien abgeglichen werden:
| |
| <code><pre>rkhunter --propupd</pre></code>
| |
| Die Datenbank selbst wird wie folgt aktualisiert:
| |
| <code><pre>rkhunter --update</pre></code>
| |
| <code><pre>Checking rkhunter data files...
| |
| Checking file mirrors.dat [ No update ]
| |
| Checking file programs_bad.dat [ No update ]
| |
| Checking file backdoorports.dat [ No update ]
| |
| Checking file suspscan.dat [ No update ]
| |
| Checking file i18n/cn [ No update ]
| |
| Checking file i18n/de [ No update ]
| |
| Checking file i18n/en [ No update ]
| |
| Checking file i18n/tr [ No update ]
| |
| Checking file i18n/tr.utf8 [ No update ]
| |
| Checking file i18n/zh [ No update ]
| |
| Checking file i18n/zh.utf8 [ No update ]</pre></code>
| |
| | |
| Als nächstes lassen wir einen Scan loslaufen:
| |
| <code><pre>rkhunter -c --sk</pre></code>
| |
| Solltet Ihr hier Warnungen erhalten, dann seht Euch die '''/var/log/rkhunter.log''' etwas näher an. Diese verrät dann genauer, wo der rkhunter seine Probleme hat. Der rkhunter reagiert sehr empfindlich, von daher sollte man nicht gleich mit dem Schlimmsten rechnen, allerdings sollte man hier genau hinsehen. Im Internet findet man oft Hilfe zu manchen Meldungen, insbesondere ob sich die Meldung um einen sogenannten false-positive handelt.<br><br>
| |
| Legt Euch nun ein Skript an ('''Exim4''' muss installiert sein):
| |
| <code><pre>nano /usr/local/bin/rkcheck</pre></code>
| |
| Dieses befüllt wie folgt:
| |
| <code><pre>
| |
| #!/bin/sh
| |
| # Rootkit Checkskript by Gargi 2015
| |
| #
| |
| #
| |
| # Set your e-mail
| |
| mail_adr=deine@mail.adresse
| |
| #
| |
| rm /var/log/viri.log
| |
| rm /var/log/rkhunter.log
| |
| echo "ROOTKITCHECK" >> /var/log/viri.log
| |
| date >> /var/log/viri.log
| |
| rkhunter --update
| |
| rkhunter -c --cronjob
| |
| echo "" >> /var/log/viri.log
| |
| echo "Rootkit Scan Results" >> /var/log/viri.log
| |
| cat /var/log/rkhunter.log | grep Possible >> /var/log/viri.log
| |
| cat /var/log/rkhunter.log | grep Suspect >> /var/log/viri.log
| |
| echo "" >> /var/log/viri.log
| |
| | |
| sys_name=$(hostname)
| |
| mail -s "Rootkit Check on $sys_name" $mail_adr < /var/log/viri.log</pre></code>
| |
| Tragt oben Eure E-Mail Adresse ein. Danach macht das Script ausführbar:
| |
| <code><pre>chmod +x /usr/local/bin/rkcheck</pre></code>
| |
| Damit dieses dann regelmäßig auf Suche geht, baut das in die '''crontab''' ein:
| |
| <code><pre>crontab -e</pre></code>
| |
| Fügt diese Zeilen ein:
| |
| <code><pre>
| |
| # Check for rootkits every 2 hours
| |
| 0 */2 * * * /usr/local/bin/rkcheck > /dev/null
| |
| </pre></code>
| |
| Speichert die Änderung ab. Alle zwei Stunden erfolgt dann die Prüfung und Ihr erhaltet eine E-Mail mit den Ergebnissen. Bei einem Fund bekommt Ihr dann noch eine zweite Mail mit einer deutlichen Warnung.
| |
| <br><br>
| |
| ==ClamAV==
| |
| Mit dem ClamAV wollen wir im Grunde unser Webverzeichnis auf Viren prüfen. Uns interessiert dabei besonders, ob irgendwelche Schädlinge (wie auch immer) hochgeladen wurden. Ein Virenscanner ist dennoch keine 100%ige Garantie oder gar ein absoluter Schutz, aber er kann helfen, zumindest bekannte Schädlinge aufzustöbern.<br>
| |
| Zunächst installieren wir die benötigten Pakete:
| |
| <code><pre>apt-get install clamav clamav-base clamav-daemon clamav-freshclam unzip</pre></code>
| |
| Der freshclam sorgt dafür, dass regelmäßig eine neue Virensignatur heruntergeladen wird. Prüft nach, ob Ihr die aktuelle Signatur habt:
| |
| <code><pre>freshclam</pre></code>
| |