Moin moin!
Auch mich hat ein ein RootKit erwischt. Nach nervenaufreibender Reinitialisierung (dabei gleich Update) ... naja, Ihr wisst ja...
Nun, wo alles wieder läuft, lass ich ständig chkrootkit laufen... aber bringt ja nichts *gg*
Nun die Frage: Gibt es ein Skript, oder hat von Euch vielleicht sogar jemand eins geschrieben, das den Dump von chkrootkit auswertet und bei "magic words" wie "INFECTED" ne Mail an root schickt? Nur in diesem Fall! Ich möchte nicht ständig den kompletten Dump bekommen.
Das könnte man dann prima per cron aufrufen.
Ich frag mich, ob ich der erste bin, der auf die Idee kommt, aber wahrscheinlich sehe ich eher den Wald vor lauter Bäumen nicht... In dem Fall: SORRY! :roll: Jedenfalls hab ich dazu nichts gefunden - wäre auch sicher prima für die FAQ?
Skript für automatisierte Auswertung von chkrootkit-Dump?
-
captaincrunch
- Userprojekt
- Posts: 7066
- Joined: 2002-10-09 14:30
- Location: Dorsten
- Contact:
Re: Skript für automatisierte Auswertung von chkrootkit-Dump?
Wo ist das Problem ?
Code: Select all
#!/bin/bash
/pfad/zum/chkrootkit | grep INFECTED | mail -s "Obacht!" root@localhostDebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc
Re: Skript für automatisierte Auswertung von chkrootkit-Dump?
Dazu müßte man in dem Script aber auch in das Verzeichnis vom chkrootkit wechseln, da ansonsten weitere Files vom chkrootkit nicht bzw mit Fehlerhaften Pfaden ausgeführt werden.
Zumindest hatte ich das Problem mal.
Zumindest hatte ich das Problem mal.
-
captaincrunch
- Userprojekt
- Posts: 7066
- Joined: 2002-10-09 14:30
- Location: Dorsten
- Contact:
Re: Skript für automatisierte Auswertung von chkrootkit-Dump?
In dem Fall dann halt :
;)
Code: Select all
#!/bin/bash
cd /pfad/zum/chkrootkit
./chkrootkit | grep INFECTED | mail -s "Obacht!" root@localhostDebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc
Re: Skript für automatisierte Auswertung von chkrootkit-Dump?
Meine Linuxkenntnisse!CaptainCrunch wrote:Wo ist das Problem ?
Aber super, herzlichen Dank! Werde ich gleich mal ausprobieren :-)
-
darkspirit
- Posts: 553
- Joined: 2002-10-05 16:39
- Location: D'dorf
- Contact:
Re: Skript für automatisierte Auswertung von chkrootkit-Dump?
Ich zweifle allerdings am Nutzen dieser "Sicherheitsmaßnahme". Ich gehe mal davon aus, dass ein Angreifer, wenn er mal im System ist, sich erstmal genau umsieht, bevor er damit beginnt, Binaries auszutauschen. Die Crontabs gehören mit Sicherheit auch dazu. Und wer sagt dir, dass der Angreifer nicht gleich auch das chkrootkit-Binary austauscht? ;)
IMHO bringt chkrootkit nur dann wirklich etwas, wenn man das Binary aus sauberen Quellen vor jeder Benutzung neu baut oder gleichzeitig etwas wie Tripwire/AIDE mit schreibgeschützter DB einsetzt..
IMHO bringt chkrootkit nur dann wirklich etwas, wenn man das Binary aus sauberen Quellen vor jeder Benutzung neu baut oder gleichzeitig etwas wie Tripwire/AIDE mit schreibgeschützter DB einsetzt..
Re: Skript für automatisierte Auswertung von chkrootkit-Dump?
Ja, auf tripwire bin ich auch gerade gestoßen, herzlichen Dank!
Re: Skript für automatisierte Auswertung von chkrootkit-Dump?
Dazu mal ne Frage, wie könnte ich auf meinem Server denn ne Schreibgeschützte DB für Aide sicherstellen? Ich zieh im Moment immer ne Kopie auf meinen Router, damit ich wenigstens die MD5Sum vergleichen kann. Aber so sicher wie ne Schreibgeschützte Diskette oder so ist das ja nicht :p