Server auf Kompromitierung prüfen: chkrootkit

Strato hat gestern in einer großer Rundmail an alle Kunden nochmal auf die mögliche Bedrohung durch veraltete ProFTP Versionen (beispielsweise enthalten in alten Parallel Plesk 9.5.1, 9.5.2 und 9.5.3) hingewiesen. Dabei wurde auch das Programm chkrootkit (Link) mit dem man als Webmaster relativ einfach den eigenen Server auf eventuell Viren und Rootkits prüfen kann.

Die Installation ist dabei recht einfach und erfolgt unter Debian, Ubuntu und OpenSUSE mehr oder weniger automatisch. Dazu sind keine besonderen Systemkenntnisse notwendig sondern es reicht per Konsole auf den Server zuzugreifen:

  • Debian, Ubuntu apt-get install chkrootkit
  • OpenSUSE chkrootkit

Danach kann man das Programm durch den Aufruf chkrootkit starten. Die einzelnen Hinweise sollte man sorgfältig prüfen und nach eventuellen Infektionen suchen. Strato hat ein nettes Beispiel für einen kompromittierten Server mitgeliefert:

Checking ifconfig… INFECTED
Checking pstree… INFECTED
Searching for t0rns v8 defaults… Possible t0rn v8 \(or variation\) rootkit installed
Searching for Showtee… Warning: Possible Showtee Rootkit installed
Checking bindshell… INFECTED (PORTS:  465)
chkproc: Warning: Possible LKM Trojan installed
Checking bindshell… INFECTED (PORTS:  465)
Checking chkutmp…  The tty of the following user process(es) were not found
in /var/run/utmp !
! RUID          PID TTY    CMD
! root        15781 pts/0  -bash

Falls der Server so heftig infiziert wird hilft wohl nur eine komplette Neuinstallation des Systems sowie danach ein Schließen der aktuellen Sicherheitslücken in dem man die Plesk und ProFTP Programme auf die neusten Versionen updatet.

4 Kommentare zu "Server auf Kompromitierung prüfen: chkrootkit"

  1. Danke für den Hinweis. Gleich mal installieren und alle Server checken. Auch wenn der Schädling erst am 28 Dezember eingeschleust wurde.

  2. tallyweijl | Dezember 3, 2010 um 17:40 |

    Wer nutzt denn solche alten FTP Programme. Ich hab filezilla und da läuft alles.

  3. Generell ist es übringends doof, sich genau an die Beschreibung von strato zu halten – der Hacker kennt das vermutlich ebenfalls und kann Gegenmassnahmen treffen (z.B. simulieren, dass der Server, der bei strato angegeben ist, nicht erreichbar wäre).

    Dummerweise wird der Hacker (hat er bei mir übringends auch) verhindert, dass ich via zypper Programme nachinstalliere…

    Wenn also die Installation nicht wie beschrieben klappt, nächsten Weg probieren. Wenn der auch nicht geht, bitte erst verzweifeln, dann über Umwege einen chkrootkit installieren (z.B. tar.gz via ftp hochladen) oder mit anderen Möglichkeiten nach rootkits suchen.

    Bei mir funktionierte bspw. „ls -lh“ nicht mehr wie gewohnt.

    Ich hatte ein solches Rootkit auf meinem Server. Seitdem ist der proftpd meiner Ansicht nach böse und vermeide diesen Dienst, der alle paar Jahre wieder Stress macht. Schade.

    Ach ja, und:

    @tallyweijl: ??? Troll do bist?

  4. Ein solches Programm könnte mir bestimmt sehr helfen, werde gleich installieren und probieren, danke schön

Hinterlasse einen Kommentar

E-Mail Adresse wird nicht veröffentlicht.


*