Denn Rechner vor Rootkits schützen mit rkhunter

Böswillige Systemeindringlinge, verschleiern ihre Anwesenheit oft dadurch das sie gängige Systemprogramme durch eigene Programme ersetzen und machen euch blind für bestimmte Prozesse. Ein regelmäßiger Rootkitcheck soll das verhindern.

screenshot von rkhunter die ersten zeilen

Sinnvoll ist der rkhunter vorallem für Server. Es ist ebenso sinnvoll rkhunter nach einer Neuinstallation zügig einzurichten.
Die Idee hinter hinter dem RootKitHunter ist, von den gängigen Systemprogrammen jeweils ein Hashwert zu bilden und diesen Wert in einer Datei abzuspeichern und bei jedem rootkit-check zu vergleichen ob die Hashwerte heute noch die selben sie wie bei der Ersteinrichtung. Von daher ist die Überschrift Denn Rechner vor Rootkits schützen eigentlich falsch, es geht um das erkennen ob Rootkits auf meinem System sind oder nicht¹.

Der Name Rootkit, leitet sich von der Tatsache ab, das ein Angreifer als mit als root Dienstprogramme manipuliert.

Schritt 1: rkhunter installieren

apt install rkhunter

Schritt 2: Hashwertdatei anlegen

rkhunter --propupd

Schritt 3: Hashwerte vergleichen (Rootkit-check)

rkhunter -c

Zwischendurch muss man ein paar mal Enter drücken.

Nach rund 2 Minuten kommt dann soetwas bei raus.

System checks summary
=====================

File properties checks...
Files checked: 140
Suspect files: 0

Rootkit checks...
Rootkits checked : 496
Possible rootkits: 0

Applications checks...
All checks skipped

The system checks took: 2 minutes and 4 seconds                                         

Info: End date is Thu 26 Jul 2021 10:27:16 AM CET

In mehr oder weniger Regelmäßigen Abständen solltet ihr Schritt 3 machen.

Nachbetrachtung

1) Natürlich ist das scannen nach Rootkits nur ein kleines Sicherheitselement und sollte nicht überbewertet werden. Ein Angreifer mit rootrechten kann eure Hashwerte ändern, aber es ist ein Aufwand mehr für einen Eindringling.

! Wie immer der Disclaimer, wir sind nicht frei von Fehlern, euch fällt was auf, habt Ergänzungen? Schreibt uns oder lasst ein Kommentar da.