Rootkit suche mit Benachrichtigung

Eine regelmäßige Überprüfung des Servers auf Rootkits (Wikipedia) und die sofortige Informierung der entsprechenden Personen, am besten per SMS, kann durchaus Sinn machen um Veränderungen am System frühzeitig erkennen zu können.

Zuerst muss das Rootkitsuchprogramm installiert werden, das geht unter Debian per:

apt-get install chkrootkit

Anschließend wird ein Cronjob angelegt, welcher regelmäßig das System nach Rootkits prüft und im Fehlerfall eine Meldung sendet. Hier macht eine mail2sms Sinn. Der Cronjob unter /etc/cron.d/chkrootkit soll täglich um sechs Uhr laufen, sowohl morgens als auch abends:

MAILTO="mail2sms@example.com"
0 6,18 * * *  root    /usr/sbin/chkrootkit -q

Leider kommt es dabei auch vermehrt zu Falschmeldungen, dass sollte bedacht werden, wenn pro SMS Kosten entstehen:

You have 1 process hidden for readdir command
You have 1 process hidden for ps command
chkproc: Warning: Possible LKM Trojan installed

Diese Falschmeldungen entstehen wenn andere Programme während der Prüfroutine laufen und sich somit die Anzahl der laufenden Prozese ändert. Chkrootkit entnimmt diese Anzahl den Systemtools (welche ja bereits durch ein Rootkit ersetzt sein können) und vergleicht diese mit seinem eigenen Tools. Läuft beispielsweise ein anderer Cronjob zeitgleich, kann es somit beim Prüfen durch Chkrootkit auf versteckte Prozesse zu der Falschmeldung kommen.

About admirableadmin

Hello World! Ich bin Andreas Peichert und entwickle und programmiere Webseiten seit 2000. Zurzeit studiere ich Informatik (Komplexe Softwaresysteme) an der Hochschule Bremen.

0 Responses to “Rootkit suche mit Benachrichtigung”


  • No Comments

Leave a Reply

Time limit is exhausted. Please reload CAPTCHA.