1. zuerst einloggen in den eigenen Server mittels ssh
in das verzeichnis wechseln, wo ihr chkrootkit installieren möchtet, bei mir usr/local mit #cd usr/local
2. Dann die aktuelle Source von der Programmiererhomepage http://www.chkrootkit.org ziehen. Bei mir #wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
3. auspacken mit tar
4. entsprechend in das neue Verzeichnis wechseln, bei mir chkrootkit-0.43, also #cd chkrootkit-0.43
5. dort den befehl #make sense ausführen zum compilieren des sourcecodes. Bei mir kam folgendes als ergebnis:
- gcc -DHAVE_LASTLOG_H -o chklastlog chklastlog.c
gcc -DHAVE_LASTLOG_H -o chkwtmp chkwtmp.c
gcc -DHAVE_LASTLOG_H -o ifpromisc ifpromisc.c
gcc -o chkproc chkproc.c
gcc -o chkdirs chkdirs.c
gcc -o check_wtmpx check_wtmpx.c
gcc -static -o strings-static strings.c
7. den ersten Testlauf starten mit # ./chkrootkit
lief alles gut durch, zwei Warnmeldungen konnte ich identifizieren:
Searching for anomalies in shell history files... nothing found
Checking `asp'... not infected
Checking `bindshell'... INFECTED (PORTS: 465)
Checking `lkm'... nothing detected
Checking `rexedcs'... not found
Checking `sniffer'... eth0: PF_PACKET(/sbin/dhcpcd)
hatte aber im anderen Beitrag http://www.rootforum.org/forum/viewtopi ... chkrootkit gelesen, das dies keine wirklichen Bedrohungen sind.
Habe das Teil übrigends für die sehr gute Auswertungssoftware srvreport unter http://www.rootforum.org/forum/viewtopi ... =srvreport und alt unter http://www.rootforum.org/forum/viewtopi ... =srvreport benötigt.
MichaS.
