PDA

Bekijk Volledige Versie : HOW TO: systeem scannen op rootkits



Carl<n-media>
17/06/04, 22:26
In deze how to zal ik uitleggen hoe je je systeem kunt scannen op rootkits. Wanneer je niet weet wat een rootkit is, neem dan eens een kijkje op deze web site (http://www.tech-faq.com/unix/rootkit.shtml). Meer informatie over chkrootkit vind je op de web site van de maker (http://chkrootkit.org/).

Log in als root gebruiker:
su -

Typ het volgende om chkrootkit naar je server te downloaden:
wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz

Typ het volgende om het bestand uit te pakken:
tar xvzf chkrootkit.tar.gz

Ga naar de directory waar de uitgepakte bestanden zich bevinden:
cd chkrootkit*

Compile het programma door het volgende te typen:
make sense

Start chkrootkit:
./chkrootkit

Alles wat het programma als output geeft dient 'not found' of 'not infected' te zijn.

Ga een map omhoog:
cd ..

En verwijder tot slot het .gz bestand:
rm chkrootkit.tar.gz

Het is aan te raden om je systeem meerdere malen per maand te scannen door gebruik te maken van chkrootkit. Ik hoop dat jullie iets aan deze how to hebben :).

The MAzTER
17/06/04, 22:27
Gewoon een cron maken die het elke dag naar je mailt ;)

Carl<n-media>
17/06/04, 22:32
Origineel geplaatst door The MAzTER
Gewoon een cron maken die het elke dag naar je mailt ;)
Kan ook, ik zal het er zo even bij zetten.

Carl<n-media>
17/06/04, 22:40
Op de volgende manier kun je je systeem automatisch elke dag laten scannen door chkrootkit.

Voeg een bestand genaamd chkrootkit toe aan de map /etc/cron.daily/:
vi /etc/cron.daily/chkrootkit

Bewerk het bestand:
pico /etc/cron.daily/chkrootkit

Typ het volgende in het bestand en sla het op:
#!/bin/bash
/volledige-pad-naar-chkrootkit/chkrootkit-versie/./chkrootkit -q | mail -s "Chkrootkit resultaten" naam@domein.tld

Je krijgt dan een e-mail bericht met de rootkits die zijn gevonden.

Beyonder
18/06/04, 00:05
Nette HOWTO :)

Installeer chkrootkit gelijk op een nieuw systeem, de output van chkrootkit kan namelijk "vals" zijn op het moment dat de machine idd gecompromised is.

Onze werkzaamheden bestaan voornamelijk uit het beveiligen van een server, wat wij onder andere doen in een standaard beveliging kun je hier lezen:

http://tldp.org/HOWTO/Security-HOWTO/ (linux only)

Ik hoop dat jullie hier iets aan hebben:)

Maar ook hier blijft het niet bij, om echt zo secure mogelijk te zijn moet je dagelijks vele mail lijsten bijhouden die nieuwe info verstrekken over diverse vulnerabilities en zelf over voldoende kennis beschikken.

superior-is
18/06/04, 00:18
Origineel geplaatst door Beyonder

Maar ook hier blijft het niet bij, om echt zo secure mogelijk te zijn moet je dagelijks vele mail lijsten bijhouden die nieuwe info verstrekken over diverse vulnerabilities en zelf over voldoende kennis beschikken.

Ik zou zeggen: laat maar 'ns horen welke maillijsten allemaal interessant zijn. :) Natuurlijk zal niet alles lukken qua 0-day security leks, maar toch. Mhh, misschien is dat meer iets voor een eigen topic.

smurf
18/06/04, 09:39
zie ook:

http://www.webhostingtalk.nl/showthread.php?s=&threadid=53184

Cybafish
18/06/04, 14:16
Een kleine toevoeging voor cPanel users: op port 465 draait standaard portsentry, hetgeen door chkrootkit als een bindshell gezien wordt. Nothing to worry about, dat hoort zo ;)

Stefan Mensink
18/06/04, 15:19
Chkrootkit wordt niet erg regelmatig (meer?) geupdate. Een alternatief is het nederlandse rkhunter, te vinden op http://www.rootkit.nl/

Deze checker werkt ongeveer hetzelfde.

Digiover
18/06/04, 15:27
Mag ik je er op wijzen dat je bij STAP 1 al de fout in gaat ?!
chkrootkit is vziw volledig als user te installeren, alleen voor het uitvoeren heb je rootprivileges nodig.
Let op: Doe zo weinig mogelijk als root!

Daarnaast is een dergelijke tutorial natuurlijk wel altijd handig. ./chkrootkit -x is een handige optie, maar pipe dit naar een tekstbestand... ;-)

Carl<n-media>
19/06/04, 16:03
Origineel geplaatst door Digiover
Mag ik je er op wijzen dat je bij STAP 1 al de fout in gaat ?!
chkrootkit is vziw volledig als user te installeren, alleen voor het uitvoeren heb je rootprivileges nodig.
Let op: Doe zo weinig mogelijk als root!

Daarnaast is een dergelijke tutorial natuurlijk wel altijd handig. ./chkrootkit -x is een handige optie, maar pipe dit naar een tekstbestand... ;-)
Zoveel kun je ook niet fout doen, zolang je de stappen hierboven maar goed uitvoert. Dit is in ieder geval een begin voor de beginners :).

Cybafish
19/06/04, 18:23
Origineel geplaatst door Digiover
Mag ik je er op wijzen dat je bij STAP 1 al de fout in gaat ?!
chkrootkit is vziw volledig als user te installeren, alleen voor het uitvoeren heb je rootprivileges nodig.
Let op: Doe zo weinig mogelijk als root!


Ik weet niet hoe dit bij jullie is geregeld, maar bij ons hebben normale gebruikers geen toegang to compilers hoor :)

Carl<n-media>
19/06/04, 18:56
Origineel geplaatst door Cybafish


Ik weet niet hoe dit bij jullie is geregeld, maar bij ons hebben normale gebruikers geen toegang to compilers hoor :)
Ik denk dat hij bedoelt dat je eerst het bestand als gewone gebruiker download en steeds van gebruiker wisselt wanneer dit nodig is.

McRox
21/06/04, 20:13
Origineel geplaatst door Stefan Mensink
Chkrootkit wordt niet erg regelmatig (meer?) geupdate. Een alternatief is het nederlandse rkhunter, te vinden op http://www.rootkit.nl/

Deze checker werkt ongeveer hetzelfde.

rkhunter is zelfs beter en controleert meer onderdelen.

Installatie:


wget http://downloads.rootkit.nl/rkhunter-1.0.9.tar.gz; tar zxf rkhunter-1.0.9.tar.gz; cd rkhunter*; ./install

Cron:


/usr/local/bin/rkhunter -c --nocolors --cronjob --report-mode --createlogfile --skip-keypress > rklog.txt
grep -v "[OK]" rklog.txt > rk-clean.txt
grep -v "Clean" rk-clean.txt | mail -s "RKHunter check" email@uwdomein.com

Starten:


./rkhunter -c --report-mode --createlogfile --skip-keypress

Stefan Mensink
21/06/04, 23:06
Okee dan McRox. Rootkitjagen voor dummies! Heeft iemand nog tips voor extra tools die routinematige checks kunnen doen op verdachte zaken?

LeaseWeb
22/06/04, 01:03
Origineel geplaatst door Beyonder


Installeer chkrootkit gelijk op een nieuw systeem, de output van chkrootkit kan namelijk "vals" zijn op het moment dat de machine idd gecompromised is.


Inderdaad, als je systeem gecompromiseerd is kan je de output van chkrootkit niet vertrouwen.

Evt icm iets als tripwire kan je achterhalen of de chkrootkit bestanden zijn aangepast.

Een alternatief is chkrootkit op een readonly medium te hebben. (een gebrande CD of een floppy in RO mode)

The MAzTER
22/06/04, 01:22
hmm..

en een script dat het iedere nacht opnieuw download, uitpakt en runt en de logs mailt en vervolgens het er weer aftieft.

HBCS
22/06/04, 09:58
Dit krijg ik te zien als ik hem download

--09:15:12-- ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
(try: 6) => `chkrootkit.tar.gz'
Connecting to ftp.pangeia.com.br:21... connected!
Logging in as anonymous ... Logged in!
==> SYST ... done. ==> PWD ... done.
==> TYPE I ... done. ==> CWD /pub/seg/pac ... done.
==> PORT ... done. ==> RETR chkrootkit.tar.gz ...
Error in server response, closing control connection.
Retrying.

LeaseWeb
22/06/04, 10:05
Origineel geplaatst door The MAzTER
hmm..

en een script dat het iedere nacht opnieuw download, uitpakt en runt en de logs mailt en vervolgens het er weer aftieft.

Dan moet je nog dat script alsnog op een Read-only medium zetten.

Anders kan de scriptkiddie dat script ff aanpassen om "groen licht" te mailen.

Het voordeel boven mijn voorgestelde oplossing is dat je altijd de nieuwste chkrootkit gebruikt..

Denk echter wel dat de mirror maintainers het niet zo leuk vinden als we met duizenden servers elke nacht een download schedulen..

robinvand
22/06/04, 10:24
Waarom maken we geen sticky topic aan mods? Dit is toch iets waar iedere system admin mee te maken heeft.

Gewoon een sticky topic met security HOW-TO's e.d.

Beyonder
22/06/04, 11:23
Nadat je box geroot is, is natuurlijk de output van chkrootkit of enig ander detectie systeem niet 100% betrouwbaar meer.

CHKrootkit heeft dependencies, dit weten makers van nieuwe rootkits ook, dus in nieuwe rootkits zit inmiddels de mogelijkheid om chkrootkit te misleiden.

Inderdaad is de oplossing in dit geval om chkrootkit en alles waar hij afhankelijk van in om betrouwabaar resultaat te geven op een read only (CDROM?) media te plaatsen.

We Develop
22/06/04, 11:30
Origineel geplaatst door robinvand
Gewoon een sticky topic met security HOW-TO's e.d.

Of een speciaal forum met HOW-TO's
Er staan er al een aantal op verschillende plekken op het forum.

root
22/06/04, 11:34
Origineel geplaatst door robinvand
Waarom maken we geen sticky topic aan mods? Dit is toch iets waar iedere system admin mee te maken heeft.

Gewoon een sticky topic met security HOW-TO's e.d.


En als die how-to niet klopt of aanvulling nodig heeft, kan alleen een mod dit wijzigen. Dus sticky is niet slim. Zal een balletje opgooien wat we kunnen doen.

royen99
22/06/04, 17:50
De volgende is eigenlijk geen rootkit scanner, maar deze controlleerd zo'n beetje elke verandering op het systeem qua configuatie (hardware en software).

Is dus niet gemaakt voor rootkits etc, wel heel erg uitgebreid qua andere checks en draait op zo'n beetje elk systeem. (hp-ux, solaris, linux, freebsd, (netbsd is in de maak), windows etc etc)..

SCC (System Configuation Collector)

http://www.open-challenge.nl/scc