Kleine Helfer

Rootkits unter Linux aufspüren

11.09.2009
Von 
Jürgen Donauer war als Systemadministrator zunächst für Informix und später IBM tätig. Dann verschlug es ihn in das Rechenzentrum von Media-Saturn. Dort kümmerte er sich mitunter um die Webserver, Datenbankanbindungen und den Online-Shop. Anschließend war er als Redakteur im Bereich Linux für TecChannel tätig.
Das kostenlose Tool "rkhunter" macht genau das, was der Name "The Rootkit Hunter project" verspricht: Es kann versteckte Rootkits aufspüren.

Sicherheit ist lebenswichtig für Unternehmen, und Lücken sind bares Geld für Einbrecher. Das Programm rkhunter macht Linux- und Unix-Rechner ein Stück sicherer.

Funktionalität: Die Arbeitsweise von rkhunter ist schnell erklärt. Sie rufen das Tool via Konsole auf und warten auf ein hoffentlich negatives Ergebnis. Das Sicherheitswerkzeug erkennt über 50 verschiedene Arten schädlicher Software. Das Programm sucht dabei nach Rootkits, Hintertüren und lokalen Exploits.

Installation: Der Rootkit-Jäger sollte sich bei vielen Linux-Distributionen über die einschlägigen Paketmanager installieren lassen. Diese helfen auch beim Auflösen diverser Abhängigkeiten. Zum Beispiel benötigt das Werkzeug das Programm "unhide". Sollte es kein Paket geben, können Sie den Quellcode herunterladen und rkhunter selbst kompilieren.

Bedienung: Das Sicherheitswerkzeug darf ausschließlich der Benutzer root ausführen. Es gibt eine ganze Reihe an Schaltern, zu denen Sie alles in der man-Page des Tools - man rkhunter - erfahren. Eine der wichtigsten Zusatzoptionen ist mit Sicherheit -c. Dies prüft das System auf Herz und Nieren. So ein Vorgehen dürfte bei einer Erstuntersuchung normal sein. Interessant ist auch der Parameter --propupd. Damit erstellen Sie Hash-Werte für das derzeitige System und befinden diese als gut. Sollten sich die hash-Werte ändern, wird rkhunter das erkennen und warnen. Mit --update aktualisieren Sie die Schädlingsliste. Dazu brauchen Sie aber Zugang zum Internet. Die von rkhunter benutzte Konfigurationsdatei ist in der Regel /etc/rkhunter.conf.

(Jürgen Donauer, www.tecchannel.de)

CW-Fazit

So gut rkhunter arbeitet, Administratoren sollten sich nicht auf ein einziges Tool verlassen, schließlich könnte es selbst kompromittiert worden sein. Die Entwickler von rkhunter raten sogar, zusätzlich auch andere Sicherheitssoftware, zum Beispiel chkrootkit, einzusetzen.