Wie sicher ist Chkrootkit ?

Rund um die Sicherheit des Systems und die Applikationen
walter12
Posts: 46
Joined: 2004-03-12 07:41

Wie sicher ist Chkrootkit ?

Post by walter12 » 2004-03-16 09:26

Hallo,

ich hab viel über Chkrootkit etc. gelesen. Ich wollte jetzt nur mal nachfragen, wie sicher Chkrootkit wirklich ist ?

Ich meine gibt es bei Chkrootkit evtl. die gefahr, dass es "neue" Sicherheitslöcher auf einem Linuxsystem öffnet ?

Wie sicher ist eigentlich die Auswertung bzw. die Fehlermitteilung von Chkrootkit ?

MfG
Walter

dodolin
Posts: 3840
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Wie sicher ist Chkrootkit ?

Post by dodolin » 2004-03-16 10:23

Ich wollte jetzt nur mal nachfragen, wie sicher Chkrootkit wirklich ist ?
"Sicher" ist immer relativ. Die Fachleute gehen immer zuerst von einem konkreten Bedrohungsszenario aus, das sie in ihren Systemen in der Analyse gefunden haben. Dann kann ein konkretes Produkt entweder gegen dieses konkrete Bedrohungsszenario schützen (=sicher) oder eben nicht (=nicht sicher). Sicherheit ist daher bei Experten binär, es gibt kein dazwischen oder "ein bisschen sicher".

Das Problem bei dir hier ist, du hast den falschen Ausgangspunkt. Was ist _dein_ Bedrohungsszenario, wovor dich chrootkit schützen soll?
Ich meine gibt es bei Chkrootkit evtl. die gefahr, dass es "neue" Sicherheitslöcher auf einem Linuxsystem öffnet ?
IMHO eher weniger.
Wie sicher ist eigentlich die Auswertung bzw. die Fehlermitteilung von Chkrootkit ?
chrootkit hat natürlich _nur_ dann einen Sinn, wenn man es von einem bekannt sauberen System aus startet. Bei einem Rootserver also z.B. aus dem Rescue-System heraus. Alles andere ist sinnfrei, denn wurde die Kiste erstmal gehackt, wer sagt dann, dass nicht auch chrootkit manipuliert wurde, sodass es dein Eindringling nicht findet? Außerdem hat chrootkit diverse Falschalarme, wie man oft hier im Forum und auch in der FAQ nachlesen kann.

PS: Ich muss sagen, seit gestern hab wieder deutlich mehr Bock, hier im Forum ausführlichere Antworten zu geben, vielleicht merkt man es ja schon...? :)

t0x1c
Posts: 127
Joined: 2003-10-09 19:59
Location: Nähe Kiel

Re: Wie sicher ist Chkrootkit ?

Post by t0x1c » 2004-03-16 10:27

IMO prüft chrootkit Standard-Tools auf ihre Konsistenz. (Also ob sie ausgetauscht wurden, evtl. gegen 'bösartige' Programme(rootkits).)

Chrootkit öffnet keine neuen Sicherheitslöcher auf dem System.

Die Auswertung von Chrootkit ist teilweise sehr ungenau, hier gibt(gab) es hunderte von Threads, in denen Chrootkit grundlos ein 'possible LKM Trojan installed' meldet.

walter12
Posts: 46
Joined: 2004-03-12 07:41

Re: Wie sicher ist Chkrootkit ?

Post by walter12 » 2004-03-16 10:42

Hallo und vielen Dank 0x1c,

ich hab gestern das System von verschiedenen Firmen auf Sicherheit prüfen lassen. Nach Aussage sind keine Löcher im System enthalten. Auf dem System sind die neusten Programmen.


Vielleicht hat jemand noch andere Erfahrungen bzw. Meinung zu Chkrootkit ?

schlumpfi
Posts: 4
Joined: 2004-03-16 13:53

Re: Wie sicher ist Chkrootkit ?

Post by schlumpfi » 2004-03-16 14:03

walter12 wrote:Vielleicht hat jemand noch andere Erfahrungen bzw. Meinung zu Chkrootkit ?
Sagen wir mal so:
In den Versionen seit 0.38 hat sich viel getan um false positives zu vermeiden (wer erinnert sich nicht gerne an die alarmierenden Meldungen unter RH 8.0 :-) ) - aber das ist immer noch nicht gelungen. Die Meldungen von chkrootkit hängen zum Teil auch einfach davon ab was Du machst. Auch noch in der aktuellen 0.43 (aber dafür ist es ja ne 0.xy Version)
Auf einem meiner RedHat Server hat das Ding mir laufend "possible LKM" und gelegentlich sogar "possible Slapper Infection" angezeigt. nachdem der erste Hustenanfall vorbei war, habe ich geforscht und irgendwann einfach die Laufzeit des cronjobs geändert.
Geheimnis waren ein paar PHP-Scripte die zur vollen Stunde laufen. Letztlich ist es okay um eine Grobwarnung zu erhalten *falls* mal was passiert ist - aber als zuverlässiges Mittel auf Produktionsservern ist es noch ein weiter Weg. Für RedHat Server zumindest - auf den SuSE Servern ist mir außer dem bekannten false positive für bindshell auf Port 465 wenn Postfix läuft noch nix fürchterliches aufgefallen.
Allerdings, um mal den Hinweis des Kollegen zwei weiter oben aufzugreifen, solltest Du es tatsächlich von einer CD starten bzw. auf jeden Fall die .c Files aus dem Verzeichnis löschen :-)
regards,
Michael