RootForum Community

Posted: **2003-11-21 06:42**

Moin moin!
Auch mich hat ein ein RootKit erwischt. Nach nervenaufreibender Reinitialisierung (dabei gleich Update) ... naja, Ihr wisst ja...

Nun, wo alles wieder läuft, lass ich ständig chkrootkit laufen... aber bringt ja nichts *gg*
Nun die Frage: Gibt es ein Skript, oder hat von Euch vielleicht sogar jemand eins geschrieben, das den Dump von chkrootkit auswertet und bei "magic words" wie "INFECTED" ne Mail an root schickt? Nur in diesem Fall! Ich möchte nicht ständig den kompletten Dump bekommen.
Das könnte man dann prima per cron aufrufen.
Ich frag mich, ob ich der erste bin, der auf die Idee kommt, aber wahrscheinlich sehe ich eher den Wald vor lauter Bäumen nicht... In dem Fall: SORRY! :roll: Jedenfalls hab ich dazu nichts gefunden - wäre auch sicher prima für die FAQ?

Posted: **2003-11-21 08:54**

Wo ist das Problem ?

Code: Select all

#!/bin/bash
/pfad/zum/chkrootkit | grep INFECTED | mail -s "Obacht!" root@localhost

Posted: **2003-11-21 09:04**

Dazu müßte man in dem Script aber auch in das Verzeichnis vom chkrootkit wechseln, da ansonsten weitere Files vom chkrootkit nicht bzw mit Fehlerhaften Pfaden ausgeführt werden.
Zumindest hatte ich das Problem mal.

Posted: **2003-11-21 09:08**

In dem Fall dann halt :

Code: Select all

#!/bin/bash
cd /pfad/zum/chkrootkit
./chkrootkit | grep INFECTED | mail -s "Obacht!" root@localhost

;)

Posted: **2003-11-21 12:38**

CaptainCrunch wrote:Wo ist das Problem ?

Meine Linuxkenntnisse!
Aber super, herzlichen Dank! Werde ich gleich mal ausprobieren :-)

Posted: **2003-11-21 13:42**

Ich zweifle allerdings am Nutzen dieser "Sicherheitsmaßnahme". Ich gehe mal davon aus, dass ein Angreifer, wenn er mal im System ist, sich erstmal genau umsieht, bevor er damit beginnt, Binaries auszutauschen. Die Crontabs gehören mit Sicherheit auch dazu. Und wer sagt dir, dass der Angreifer nicht gleich auch das chkrootkit-Binary austauscht? ;)
IMHO bringt chkrootkit nur dann wirklich etwas, wenn man das Binary aus sauberen Quellen vor jeder Benutzung neu baut oder gleichzeitig etwas wie Tripwire/AIDE mit schreibgeschützter DB einsetzt..

Posted: **2003-11-27 01:00**

Ja, auf tripwire bin ich auch gerade gestoßen, herzlichen Dank!

Posted: **2003-11-27 08:00**

Dazu mal ne Frage, wie könnte ich auf meinem Server denn ne Schreibgeschützte DB für Aide sicherstellen? Ich zieh im Moment immer ne Kopie auf meinen Router, damit ich wenigstens die MD5Sum vergleichen kann. Aber so sicher wie ne Schreibgeschützte Diskette oder so ist das ja nicht :p

RootForum Community

Skript für automatisierte Auswertung von chkrootkit-Dump?

Skript für automatisierte Auswertung von chkrootkit-Dump?

Re: Skript für automatisierte Auswertung von chkrootkit-Dump?

Re: Skript für automatisierte Auswertung von chkrootkit-Dump?

Re: Skript für automatisierte Auswertung von chkrootkit-Dump?

Re: Skript für automatisierte Auswertung von chkrootkit-Dump?

Re: Skript für automatisierte Auswertung von chkrootkit-Dump?

Re: Skript für automatisierte Auswertung von chkrootkit-Dump?

Re: Skript für automatisierte Auswertung von chkrootkit-Dump?