Rootkit Scanner Installation und Konfiguration

Hi @ All,

heute befassen wir uns mit dem Automatisieren Rootkit scann und das Senden des Logfiles via E-Mail.

Ich benutze rkhunter und chkrootkit.


Installation:

Installation und Konfiguration als root!


RKHUNTER

Installation:

aptitude install rkhunter

Konfiguration:

nano /etc/rkhunter.conf

Einzige Option die hier zu bearbeiten ist:

MAIL-ON-WARNING=""

Ändern auf:

MAIL-ON-WARNING="root"

Cron ändern damit die Version und auf Updates geprüft wird:

nano /etc/cron.daily/rkhunter

Original Datei:

#!/bin/sh

RKHUNTER=/usr/bin/rkhunter

test -x $RKHUNTER || exit 0

# source our config
. /etc/default/rkhunter

if [ -z "$NICE" ]; then
NICE=0
fi
case "$CRON_DAILY_RUN" in
[Yy]*)
OUTFILE=`mktemp` || exit 1
/usr/bin/nice -n $NICE $RKHUNTER --cronjob --report-warnings-only --appendlog > $OUTFILE
if [ -s "$OUTFILE" ]; then
(
echo "Subject: [rkhunter] $(hostname -f) - Daily report"
echo "To: $REPORT_EMAIL"
echo ""
cat $OUTFILE
) | /usr/sbin/sendmail $REPORT_EMAIL
fi
rm -f $OUTFILE
;;
*)
exit 0
;;
esac

Versionsprüfung und Update hinzufügen:

#!/bin/sh

RKHUNTER=/usr/bin/rkhunter

test -x $RKHUNTER || exit 0

# source our config
. /etc/default/rkhunter

if [ -z "$NICE" ]; then
NICE=0
fi
/usr/bin/rkhunter --versioncheck
/usr/bin/rkhunter --update
case "$CRON_DAILY_RUN" in
[Yy]*)
OUTFILE=`mktemp` || exit 1
/usr/bin/nice -n $NICE $RKHUNTER --cronjob --report-warnings-only --appendlog > $OUTFILE
if [ -s "$OUTFILE" ]; then
(
echo "Subject: [rkhunter] $(hostname -f) - Daily report"
echo "To: $REPORT_EMAIL"
echo ""
cat $OUTFILE
) | /usr/sbin/sendmail $REPORT_EMAIL
fi
rm -f $OUTFILE
;;
*)
exit 0
;;
esac

Testen:

sh /etc/cron.daily/rkhunter

Wenn alles richtig eingestellt ist bekommt man eine E-Mail mit dem Report auf die Eingestellte E-Mail Adresse bzw. an Root wie in meinem Beispiel.


CHKROOTKIT:

Installation:

aptitude install chkrootkit

Konfiguration:

nano /etc/chkrootkit.conf

Original Datei:

RUN_DAILY="false"
RUN_DAILY_OPTS="-q"
DIFF_MODE="false"

Tägliche Prüfung einschalten und E-Mailadresse hinzufügen:

RUN_DAILY="true"
RUN_DAILY_OPTS="-q" // Option damit die Prüfung ohne Ausgabe in die Console läuft
DIFF_MODE="false"
REPORT_EMAIL="root"

Anpassung des Cronjobs für Sendmail/Postfix:

nano /etc/cron.daily/chkrootkit

Originaldatei:

leider nicht mehr vorhanden!

Zu bearbeiten ist die Zeile:

$CHKROOTKIT $RUN_DAILY_OPTS

nach eval die Zeile

$CHKROOTKIT $RUN_DAILY_OPTS

zu entfernen und zu ersetzen mit

$CHKROOTKIT > $LOG_DIR/chkrootkit.log #Run chkrootkit and save the logfile
(
echo "Subject: [chkrootkit] $(hostname -f) - Daily report" #Create subject line using the hostname
echo "To: $REPORT_EMAIL" #Insert To: delivery email address using the variable defined in chkrootkit.conf
echo ""
cat $LOG_DIR/chkrootkit.log #Concat the logfile to the output
) | /usr/sbin/sendmail $REPORT_EMAIL #Send out the email!

Die Einzelnen Zeilen sind ja schon beschrieben und sollte daher klar sein.

Danach kann man noch einen Datei für das Logrotate erstellen.

Datei erstellen:

nano /etc/logrotate.d/chkroot
/var/log/chkrootkit/*.log { daily rotate 15 dateext delaycompress missingok notifempty }

Test:

sh /etc/cron.daily/chkrootkit

Durch die Option in der

/etc/chkrootkit.conf

-q wird es keine Ausgabe geben sondern es wird das Logfile geschrieben und eine E-Mail verschickt das ist alles.

Nun wird einmal am Tag das System mit beiden Programmen nach Rootkits geprüft und Ihr bekommt für jeden Scan eine E-Mail.

Solltet Ihr Plesk oder ähnliches benutzen bitte nicht wundern wenn Ihr eine Fehlermeldung erhaltet wie INFECTED (PORTS: 465) bekommt das liegt an Plesk also keine Panik.


Quelle:

http://www.planetdebian.de/howto-installation-von-chkrootkit-und-rkhunter

http://peterpetrik.com/blog/daily-emails-from-chkrootkit-using-postfix-sendmail-command


Das war es auch schon wieder, viel Spass 🙂

LG
DocSchneidi ak Cheech

Tagged , , , , , , , , , , , , .Speichere in deinen Favoriten diesen permalink.

11 Antworten zu Rootkit Scanner Installation und Konfiguration

  1. Nils sagt:

    Finde ich super, dass hier haeufig geschrieben wird.

  2. Bastian sagt:

    Nette Ausfuehrungen! Ich werde mich damit in Zukunft mehr beschaeftigen! Warte auf neue Beitraege!

  3. cheech sagt:

    Ich geb mein bestes 😉
    Lg Cheech

  4. Michael sagt:

    Hallo!

    Ich nutze aktuell Debian 7 64 Bit und wollte dein Tutorial benutzen. Es funktioniert zwar alles, aber ich bekomme einfach keine E-Mails geschickt o.o Egal ob lokal und ich rufe mit „mail“ in der Konsole ab oder an eine richtige E-Mail Adresse.

    Hast du eine Idee wieso?

    Gruß

    • admin sagt:

      Hi,

      steht den was im syslog ? Nutz du ein anderes E-Teil Programm/Server ? hast Du eine E-Mailadresse konfiguriert oder nur root drin stehen ? Wenn nur root drin steht muss im System für root auch eine echte E-Mailadresse hinter legt sein.

      Gruß
      Cheech

  5. Michael sagt:

    Meinst du mit syslog die Konsole?

    Ich habe MAIL-ON-WARNING=“root mail@mail.de“ in der rkhunter.conf eingetragen.
    Ich habe für root keine E-Mailadresse hinterlegt, wie mache ich das? Bin ein Linuxnoob.

  6. Michael sagt:

    Ich habe nun die Datei /root/.forward erstellt und dort eine richtige E-Mailadresse angegeben.
    Mail-on-warning habe ich auf root gelassen. Nun habe ich eine E-Mail bekommen.
    Ich dachte ich kann bei Mail on warning direkt „echte“ E-Mailadressen angeben.

    Danke.

  7. Michael sagt:

    Laut rkhunter.conf

    # Multiple addresses may be specified
    # simply be separating them with a space.

    sollte das aber auch gehen? Einmal an root (also lokal) und einmal an eine echte E-Mailadresse, welche ich absichtlich mit mail@mail.de abgekürzt habe. Dann scheint der Kommentar in der Datei falsch zu sein?

    Gruß

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.