Chkrootkit

Aus MySlug
Wechseln zu: Navigation, Suche

Wanzenjagd mit Chkrootkit

Wer seine kleine Schachtel ständig am Netz hängen lässt ist vor Angreifern natürlich nicht sicher. Deswegen ist Umsichtigkeit sowohl in den Logs als auch bei den systemkritischen Dateien erstes Gebot! Die Linuxwelt spricht weniger von Viren, sondern bekannter sind Rootkits, die wichtige Systemdateien verändern damit der Angreifer Kontrolle über das System erlangt.

Aber auch hierfür gibt es Tools, um zu prüfen, wie der Stand der Dinge ist. Ein regelmäßiger Check seines Servers ist auf jeden Fall erstes Gebot.

In den Repositories der NSLU2 gibt es leider hierzu kein entsprechendes Tool, also werden wir selbst Hand anlegen. Wir werden dazu das bekannte Werkzeug chkrootkit verwenden. Die dazugehörige Page findet Ihr hier [1]

Damit auf der Slug überhaupt etwas kompiliert werden kann müssen die Build-Tools installiert werden. Diese benötigen ca. 150 MB auf der Festplatte.


ipkg install optware-devel


Danach legen wir uns ein beliebiges Arbeitsverzeichnis an:


mkdir work


und wechseln in dieses rein:


cd work


Jetzt holen wir uns das Quellpaket ab:


wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz


Das Paket entpacken wir mit einem lässigen


tar -zvxf chkrootkit.tar.gz


Der Quellcode liegt nun in einem neuen Verzeichnis. Wie dieses heisst erfahrt Ihr mit einem


ls -l
4096 Feb  2 14:20 chkrootkit-0.47
37791 Feb  2 13:59 chkrootkit.tar.gz


Hier sieht man, dass das Verzeichnis chkrootkit-0.47 heißt. Wechselt nun in dieses Verzeichnis:


cd chkrootkit-0.47


Danach müssen wir noch einen Suchpfad setzen, damit das mit dem Compiler klappt:


export PATH=$PATH:/opt/bin:.


Jetzt legen wir mit einem


make


los. Der Vorgang dauert nicht lange. Damit das Programm auch arbeitet brauchen wir noch das netstat Tool:


ipkg install net-tools


Jetzt können wir das Tool aus dem gleichen Verzeichnis heraus mit


./chkrootkit


starten. Der Output ist dann denke ich selbsterklärend.

Ich weiße darauf hin, dass bei eventuell gefunden Infektionen erstmal geschaut werden muss, welche Datei davon betroffen ist. Da die Software auf der NSLU2 angepasst ist muss das nicht zwangsläufig bedeuten, dass tatsächlich eine Infektion vorliegt, sondern die eine oder andere Datei von der Suchroutine als infiziert markiert wird, weil diese vielleicht vom Standardcode anderer Linuxversionen abweicht (Falschmeldung). Sollte sich aber aber im Laufe der Zeit zusätzlich etwas verändern, dann ist es HÖCHSTE Eisenbahn, sein System vom Netz zu nehmen und auf die Suche zu gehen.

Zusätzlich: Nehmt die Quellcodes wieder von der Platte, damit hier nichts manipuliert werden kann. Das kompilierte Programm könnt Ihr in ein beliebiges Verzeichnis verschieben.