Haustiere

Viren

Linux/Rst-B

Um zu Vermeiden dass der eigene Server als Command&Control-Server in Botnetzen fungiert:

Beschreibung des Haustieres unter http://www.sophos.com/security/analyses/linuxrstb.html

Download von http://www.sophos.com/rst-detection-tool

danach entpacken, ein make und schon kann man das System prüfen:

[root@bla detection_tool]# ./detection_tool /bin
Sophos Rst-B Detection Tool
---------------------------
Copyright (c) 2008 Sophos Plc. All rights reserved.

Scanned 81 files, found 0 infections of Linux/Rst-B.
End of scan.

idealerweise regelmässig das ganze Filesystem scannen

chkrootkit

WICHTIG: nicht das chkrootkit verwenden welches bei der original distri mitgeliefert wird!! Immer das aktuelle herunterladen, nach /usr/share/chkrookit-VERSION installieren und anschl. einen Sym-Link mit Namen chkrookit erstellen (CHKPATH)!

21:36:31 debianmike /home/micmes [root]cat /etc/cron.daily/chkrootkit
#!/bin/bash

loggeropt="logger -t chkrootkit -s"
domainname="m1k3.local"
MAILTO=root

$loggeropt "===================== `date +%F-%T` ====================="
$loggeropt "chkrootkit fuer `hostname`.$domainname wird gestartet"

CHKPATH=/usr/share/chkrootkit

if [ ! -x $CHKPATH/chkrootkit ]; then
        $loggeropt "WARNING: chkrootkit befindet sich nicht unter dem angegebenen Pfad" |  mail $MAILTO echo -s 'WARNING: chkrootkit wurde nicht gefunden'_`hostname`
        $loggeropt "chkrootkit fuer `hostname`.$domainname wurde NICHT erfolgreich durchgefuehrt"
        $loggeropt "===================== `date +%F-%T` ====================="
        exit 1
fi
if [ -f /tmp/chkrootkit ]; then
        $loggeropt "removing old tmp file"
        rm -rf /tmp/chkrootkit
fi

$loggeropt "starting chkrootkit"
cd $CHKPATH
./chkrootkit > /tmp/chkrootkit 

message=`grep INFECTED "/tmp/chkrootkit"`
if [ $? -eq 0 ]; then
        $loggeropt "WARNING: INFEKTION wurde festgestellt!!"
        $loggeropt $message
        cat /tmp/chkrootkit |  mail $MAILTO echo -s 'WARNING: chkrootkit INFECTED auf'_`hostname`
else
        $loggeropt "keine Infektion wurde festgestellt!!"
        cat /tmp/chkrootkit |  mail $MAILTO echo -s 'chkrootkit - output von'_`hostname`
fi

$loggeropt "chkrootkit fuer `hostname`.$domainname wurde durchgefuehrt"
$loggeropt "===================== `date +%F-%T` ====================="

exit 0

 
howto/chkrootkitcheck.txt · Last modified: 2008/05/24 17:05 (external edit)
 
Except where otherwise noted, content on this wiki is licensed under the following license:CC Attribution-Noncommercial-Share Alike 3.0 Unported
Recent changes RSS feed Donate Powered by PHP Valid XHTML 1.0 Valid CSS Driven by DokuWiki