Um Ihr Linux System vor Rootkit und Schadhaften code zu durchforsten und schützen bedarf es viel aufwand.
Immer wieder kommt es vor das Rootkits, Malware, Viren oder sonstige Programme auch in ein Linux System eindringen können. Hier möchte ich ein paar Möglichkeiten aufzeigen welche es gibt Malware, Viren, Schadsoftware zu erkennen.
[su_quote]Um Integrität und damit die Verlässlichkeit der Tools sicherzustellen, sollte immer von einem 100%ig nicht kompromittierten System ausgeführt werden, wie z.B. einer Live-CD.
1. chkrootkit - Linux rootkit scanner
Der klassische Rootkit Scanner unter Linux. Durchsucht nach verdächtigen Prozessen und Dateien die einem rootkit angehören können.
Einfach zu installieren unter Debian / Ubuntu Systemen:
# sudo apt-get install chkrootkit
Einfach anzuwenden indem man mit dem Befehl
# sudo chkrootkit
Im Terminal das Programm startet und in wenigen Sekunden seine Arbeit erledigen lässt.
Automatische Rootkit Tests lassen sich über einen Cron-Job einrichten (z.B. Täglich um 3:00 in der Früh).
Hierzu müssen wir jedoch auch die Datei /etc/chkrootkit.conf anpassen und den Wert RUN_DAILY von false auf true setzen.
0 3 * * * root (cd /usr/sbin; ./chkrootkit 2>&1 | mail -s "chkrootkit output" ihre@email.de)
Dadurch wird man bei Warnungen einfach per E-Mail kontaktiert.
Es ist immer sinnvoll nicht nur einen Scanner zu verwenden sondern unterschiedliche ebenfalls zu nutzen wie rkhunter.
2. RKhunter (Rootkit Hunter)
Mit rkhunter können sie Rootkits, Hintertüren, Exploits auf einem Linux System aufspüren. Es vergleicht dabei vorhandene Systemdateien mit einem MD5-hash und sucht somit nach kompromittierten Dateien. Darüber hinaus durchsucht es das System nach falschen Dateirechten, versteckten Dateien und verdächtigen Code im Kernel. Im Vergleich zu chkrootkit geht rkhunter viel gründlicher vor und durchsucht noch vieles mehr.
Einfach zu installieren unter Debian / Ubuntu Systemen:
# sudo apt-get install rkhunter
Danach sollte man rkhunter Updaten, da dass Installationspaket schon mehrere Wochen alt sein kann.
# sudo rkhunter --update
Einfach anzuwenden indem man mit dem Befehl mit dem Flag -c anführt für einen kompletten Systemscan (complete)
# sudo rkhunter -c
Automatische Scans mit rkhunter sind ebenfalls per cronjob einfach möglich. Wenn rkhunter über den Paketmanager installiert wurde ist der Eintrag vermutlich schon im Cronjob enthalten, falls Sie rkhunter manuell installiert haben können Sie den Cronjob händisch nachtragen wie z.b.:
10 3 * * * root /usr/bin/rkhunter --cronjob
Um Mails empfangen zu können von rkhunter müssen Sie noch das Paket mailutils installieren.
3. Lynis (Auditing Tool)
Lynis stellt ein Open Source Auditing Tool dar. Damit können auf dem Host automatisierte Sicherheitsevaluierungen durchgeführt werden. Dieses Tool ähnelt sehr dem rkhunter mit erweiterten Funktionen um ein vollständiges Audit tool darzustellen. Es checkt neben normalen Rootkits, Malware auch umfangreich die Berechtigungen, Services, Einstellungen eines Linux Systems. Lynis bietet auch ein Premium Service an welches ab 1.5$ pro Monat eine noch sicherere Anwendung ermöglicht.
Die Installation und Anwendung von Lynis ähnelt sehr der rkhunter
# sudo apt-get install lynis
Der ersten Check lässt sich ebenfalls mit dem Flag -c durchführen
# sudo lynis -c
Danach sehen sie schon wieviele Checks lynis durchführt und das es einen echten Mehrwert bietet.
4. ISPProtect Website Malware Scanner (Kostenpflichtig)
ISPProtect richtet sich gezielt an Webserver welche HTML, PHP e.t.c Daten enthält. Es scant intensiv die Dateien nach Schadhaften Codes. Darunter erkennt er viele WordPress , Joomla, Drupal e.t.c Versionen und zeigt auf wo Sicherheitslecks bestehen aufgrund von Schadhaften Code oder veralteten Versionen. Die erstmalige nutzung von ISPProtect ist kostenlos, jede weitere Anwendung schlägt dann mit ein wenig Kleingeld zu buche. Meiner Erfahrung nach hat sich dieses Tool bei mir schon bezahlt gemacht, als ich auf der Suche nach Infizierten Dateien auf einem Webserver war.
ISPProtect beinhaltet 5 unterschiedliche Scanner Methoden:
- Signatur-basierender Malware Scanner
- Heuristic Malware Scanner
- Scanner nach veralteter CMS Systemen
- Scanner nach veralteten WordPress Plugins
- Datenbank Inhalts Scanner welcher in MySQL nach Schadhaften Code scannen kann
Die Installation läuft nur manuell ab, also nicht über den Paketmanager:
Melden Sie sich als Root an oder verwenden Sie die sudo Befehle:
# cd /tmp
# wget http://www.ispprotect.com/download/ispp_scan.tar.gz
# tar xzf ispp_scan.tar.gz
Der Scan-Prozess lässt sich einfach starten indem wir das Programm starten:
# ./ispp_scan
Danach können Sie ihren Erworbenen Key eingeben oder mit TRIAL fortfahren.
Sie werden im Anschluss gefragt wo sich das www Verzeichnis befindet, üblicherweise unter /var/www
ISPProtect Updates werden automatisch vor jedem Scan überprüft, tolle sache!
Viele weitere Einstellungen und Details gibts in der ISPProtect Doku.
Die Erwerb und Dokumentation zu ISPProtect finden Sie hier.
5. Clamav - Der Antivirus unter Linux
Schon fast zur Pflicht unter jeder Linux Machine gehört Clamav. Hierbei handelt es sich um einen Open Source Antivirus Engine für Trojaner, Virus, Malware und Schadhaften Code. Da Clamav auch hauptsächlich nach Windows Viren scannt ist es auf jedem E-Mail Server eine pflicht diesen zu nutzen, er hat eine sehr hohe Erkennungsrate und durchforstet eben neben klassischen Dateien auch Emails.
Installation ist unter alle Linux Distributionen durch die Paketmanager einfach möglich wie z.B.
# sudo apt-get install clamav
Es ist danach sinnvoll die Updates der Viren Datenbank einzuspielen. Zuerst einmal stoppen des laufenden Prozesses und danach Update der Datenbank.
# /etc/init.d/clamav-freshclam stop
# freshclam
Danach läuft freshclam (welche für Updates zuständig ist).
mit clamscan können Sie dann die Virensuche starten.
Um Clamav als Daemon aufzuführen benötigen wir noch das clamav-daemon Paket
# apt-get install clamav-daemon
Da clamav jetzt als Daemon läuft, verhält es sich wie ein sonst üblich gewohnter Antivirus im Hintergrund.
Eine genaue Dokumentation über Clamav können Sie hier finden.