Gargi
28.12.2007, 14:11
Wer seine Kiste ständig am Netz hängen lässt ist vor Angreifern natürlich nicht sicher. Deswegen ist Umsichtigkeit sowohl in den Logs als auch bei den systemkritischen Dateien erstes Gebot! Die Linuxwelt spricht weniger von Viren, sondern bekannter sind Rootkits, die wichtige Systemdateien verändern damit der Angreifer Kontrolle über das System erlangt.
Aber auch hierfür gibt es Tools, um zu prüfen, wie der Stand der Dinge ist. Ein regelmäßiger Check seines Servers ist auf jeden Fall erstes Gebot.
Wir werden dazu das bekannte Werkzeug chkrootkit verwenden. Die dazugehörige Page findet Ihr hier: chkrootkit -- locally checks for signs of a rootkit (http://www.chkrootkit.org)
Damit auf der Slug überhaupt etwas kompiliert werden kann müssen die Build-Tools installiert werden. Diese müssen entsprechend der jeweiligen Distribution installiert werden
Danach legen wir uns ein beliebiges Arbeitsverzeichnis an:
mkdir work
und wechseln in dieses:
cd work
Jetzt holen wir uns das Quellpaket ab:
wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
Das Paket entpacken wir mit einem lässigen
tar -zvxf chkrootkit.tar.gz
Der Quellcode liegt nun in einem neuen Verzeichnis. Wie dieses heisst erfahrt Ihr mit einem
ls -l
4096 Feb 2 14:20 chkrootkit-0.47
37791 Feb 2 13:59 chkrootkit.tar.gz
Hier sieht man, dass das Verzeichnis chkrootkit-0.47 heißt. Wechselt nun in dieses Verzeichnis:
cd chkrootkit-0.47
Jetzt legen wir mit einem
make
los.
Danach können wir das Tool aus dem gleichen Verzeichnis heraus mit
./chkrootkit
starten. Der Output ist dann denke ich selbsterklärend.
Zusätzlich: Nehmt die Quellcodes wieder von der Platte und verschiebt das Programm in ein beliebiges Verzeichnis.
Happy Bug - Hunting!
cu
Gargi
Aber auch hierfür gibt es Tools, um zu prüfen, wie der Stand der Dinge ist. Ein regelmäßiger Check seines Servers ist auf jeden Fall erstes Gebot.
Wir werden dazu das bekannte Werkzeug chkrootkit verwenden. Die dazugehörige Page findet Ihr hier: chkrootkit -- locally checks for signs of a rootkit (http://www.chkrootkit.org)
Damit auf der Slug überhaupt etwas kompiliert werden kann müssen die Build-Tools installiert werden. Diese müssen entsprechend der jeweiligen Distribution installiert werden
Danach legen wir uns ein beliebiges Arbeitsverzeichnis an:
mkdir work
und wechseln in dieses:
cd work
Jetzt holen wir uns das Quellpaket ab:
wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
Das Paket entpacken wir mit einem lässigen
tar -zvxf chkrootkit.tar.gz
Der Quellcode liegt nun in einem neuen Verzeichnis. Wie dieses heisst erfahrt Ihr mit einem
ls -l
4096 Feb 2 14:20 chkrootkit-0.47
37791 Feb 2 13:59 chkrootkit.tar.gz
Hier sieht man, dass das Verzeichnis chkrootkit-0.47 heißt. Wechselt nun in dieses Verzeichnis:
cd chkrootkit-0.47
Jetzt legen wir mit einem
make
los.
Danach können wir das Tool aus dem gleichen Verzeichnis heraus mit
./chkrootkit
starten. Der Output ist dann denke ich selbsterklärend.
Zusätzlich: Nehmt die Quellcodes wieder von der Platte und verschiebt das Programm in ein beliebiges Verzeichnis.
Happy Bug - Hunting!
cu
Gargi