Rootkit Scanner Installation und Konfiguration

Hi @ All,

heute befassen wir uns mit dem Automatisieren Rootkit scann und das Senden des Logfiles via E-Mail.

Ich benutze rkhunter und chkrootkit.


Installation:

Installation und Konfiguration als root!


RKHUNTER

Installation:

Konfiguration:

Einzige Option die hier zu bearbeiten ist:

Ändern auf:

Cron ändern damit die Version und auf Updates geprüft wird:

Original Datei:

Versionsprüfung und Update hinzufügen:

Testen:

Wenn alles richtig eingestellt ist bekommt man eine E-Mail mit dem Report auf die Eingestellte E-Mail Adresse bzw. an Root wie in meinem Beispiel.


CHKROOTKIT:

Installation:

Konfiguration:

Original Datei:

Anpassung des Cronjobs für Sendmail/Postfix:

Originaldatei:

leider nicht mehr vorhanden!

Zu bearbeiten ist die Zeile:

nach eval die Zeile

zu entfernen und zu ersetzen mit

Die Einzelnen Zeilen sind ja schon beschrieben und sollte daher klar sein.

Danach kann man noch einen Datei für das Logrotate erstellen.

Datei erstellen:

Test:

Durch die Option in der

-q wird es keine Ausgabe geben sondern es wird das Logfile geschrieben und eine E-Mail verschickt das ist alles.

Nun wird einmal am Tag das System mit beiden Programmen nach Rootkits geprüft und Ihr bekommt für jeden Scan eine E-Mail.

Solltet Ihr Plesk oder ähnliches benutzen bitte nicht wundern wenn Ihr eine Fehlermeldung erhaltet wie INFECTED (PORTS: 465) bekommt das liegt an Plesk also keine Panik.


Quelle:

http://www.planetdebian.de/howto-installation-von-chkrootkit-und-rkhunter

http://peterpetrik.com/blog/daily-emails-from-chkrootkit-using-postfix-sendmail-command


Das war es auch schon wieder, viel Spass 🙂

LG
DocSchneidi ak Cheech

Tagged , , , , , , , , , , , , . Bookmark the permalink.

11 Responses to Rootkit Scanner Installation und Konfiguration

  1. Nils says:

    Finde ich super, dass hier haeufig geschrieben wird.

  2. Bastian says:

    Nette Ausfuehrungen! Ich werde mich damit in Zukunft mehr beschaeftigen! Warte auf neue Beitraege!

  3. cheech says:

    Ich geb mein bestes 😉
    Lg Cheech

  4. Michael says:

    Hallo!

    Ich nutze aktuell Debian 7 64 Bit und wollte dein Tutorial benutzen. Es funktioniert zwar alles, aber ich bekomme einfach keine E-Mails geschickt o.o Egal ob lokal und ich rufe mit „mail“ in der Konsole ab oder an eine richtige E-Mail Adresse.

    Hast du eine Idee wieso?

    Gruß

    • admin says:

      Hi,

      steht den was im syslog ? Nutz du ein anderes E-Teil Programm/Server ? hast Du eine E-Mailadresse konfiguriert oder nur root drin stehen ? Wenn nur root drin steht muss im System für root auch eine echte E-Mailadresse hinter legt sein.

      Gruß
      Cheech

  5. Michael says:

    Meinst du mit syslog die Konsole?

    Ich habe MAIL-ON-WARNING=“root mail@mail.de“ in der rkhunter.conf eingetragen.
    Ich habe für root keine E-Mailadresse hinterlegt, wie mache ich das? Bin ein Linuxnoob.

  6. Michael says:

    Ich habe nun die Datei /root/.forward erstellt und dort eine richtige E-Mailadresse angegeben.
    Mail-on-warning habe ich auf root gelassen. Nun habe ich eine E-Mail bekommen.
    Ich dachte ich kann bei Mail on warning direkt „echte“ E-Mailadressen angeben.

    Danke.

  7. Michael says:

    Laut rkhunter.conf

    # Multiple addresses may be specified
    # simply be separating them with a space.

    sollte das aber auch gehen? Einmal an root (also lokal) und einmal an eine echte E-Mailadresse, welche ich absichtlich mit mail@mail.de abgekürzt habe. Dann scheint der Kommentar in der Datei falsch zu sein?

    Gruß

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.