CHKROOTKIT installieren

Rund um die Sicherheit des Systems und die Applikationen
michas.
Posts: 109
Joined: 2003-03-08 13:08

CHKROOTKIT installieren

Post by michas. » 2004-03-17 15:24

Nachdem ich selbst ewig nichts gefunden habe, wo ich das Teil installieren soll, habe ich jetzt alles zusammengetragen und hier einmal kurz zusammengefaßt, was ich brauchte zur Installation von CHKROOTKIT bzw. wie ich vorgegangen bin:

1. zuerst einloggen in den eigenen Server mittels ssh
in das verzeichnis wechseln, wo ihr chkrootkit installieren möchtet, bei mir usr/local mit #cd usr/local
2. Dann die aktuelle Source von der Programmiererhomepage http://www.chkrootkit.org ziehen. Bei mir #wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
3. auspacken mit tar
4. entsprechend in das neue Verzeichnis wechseln, bei mir chkrootkit-0.43, also #cd chkrootkit-0.43
5. dort den befehl #make sense ausführen zum compilieren des sourcecodes. Bei mir kam folgendes als ergebnis:
    gcc -DHAVE_LASTLOG_H -o chklastlog chklastlog.c gcc -DHAVE_LASTLOG_H -o chkwtmp chkwtmp.c gcc -DHAVE_LASTLOG_H -o ifpromisc ifpromisc.c gcc -o chkproc chkproc.c gcc -o chkdirs chkdirs.c gcc -o check_wtmpx check_wtmpx.c gcc -static -o strings-static strings.c
6. dann die ursprünglichen programmseqmente mit der endung ###.c im Verzeichnis löschen und
7. den ersten Testlauf starten mit # ./chkrootkit

lief alles gut durch, zwei Warnmeldungen konnte ich identifizieren:

Searching for anomalies in shell history files... nothing found
Checking `asp'... not infected
Checking `bindshell'... INFECTED (PORTS: 465)
Checking `lkm'... nothing detected
Checking `rexedcs'... not found
Checking `sniffer'... eth0: PF_PACKET(/sbin/dhcpcd)

hatte aber im anderen Beitrag http://www.rootforum.org/forum/viewtopic ... chkrootkit gelesen, das dies keine wirklichen Bedrohungen sind.
Habe das Teil übrigends für die sehr gute Auswertungssoftware srvreport unter http://www.rootforum.org/forum/viewtop ... =srvreport und alt unter http://www.rootforum.org/forum/viewtop ... =srvreport benötigt.

MichaS.

t0x1c
Posts: 127
Joined: 2003-10-09 19:59
Location: Nähe Kiel

Re: CHKROOTKIT installieren

Post by t0x1c » 2004-03-17 18:13

Danke für das mini-Howto.
Kennste http://www.rootforum.org/faq/ ?
Da wäre das sicher besser aufgehoben. ;)

michas.
Posts: 109
Joined: 2003-03-08 13:08

Re: CHKROOTKIT installieren

Post by michas. » 2004-03-17 20:26

gern, was muß ich beachten und wo machen

t0x1c
Posts: 127
Joined: 2003-10-09 19:59
Location: Nähe Kiel

Re: CHKROOTKIT installieren

Post by t0x1c » 2004-03-17 22:00

Hi,
hier kannst Du neue Howtos eintragen..

schl
Posts: 343
Joined: 2003-02-05 11:26
Location: München/Unterschleißheim

Re: CHKROOTKIT installieren

Post by schl » 2004-03-18 07:49

wobei man beachten sollte, dass ein erfolgreicher angreifer das chkrootkit-programm modifizieren kann und somit eine entdeckung weit hinauszögern kann...

nichts ist so sicher wie der tod :-D
Last edited by schl on 2004-03-18 09:40, edited 1 time in total.

captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: CHKROOTKIT installieren

Post by captaincrunch » 2004-03-18 08:10

wobei man beachten sollte, dass eine erfolgreicher angreifer das chkrootkit-programm modifizieren kann
Binary-Patching gehört nicht gerade zur "Allgemeinbildung" eines typischen Scriptkiddies.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

t0x1c
Posts: 127
Joined: 2003-10-09 19:59
Location: Nähe Kiel

Re: CHKROOTKIT installieren

Post by t0x1c » 2004-03-18 12:05

Außerdem empfiehlt es sich ja eh, jede Prüfung mit einem "sauberen" chrootkit durchzuführen.. (Vom Rescue-System aus!?)

michas.
Posts: 109
Joined: 2003-03-08 13:08

Re: CHKROOTKIT installieren

Post by michas. » 2004-03-18 19:23

was bitte ist ein sauberes CHKROOTKIT bzw. wie identiofiziere ich ein solches als ein solches ;-)

MichaS.

schl
Posts: 343
Joined: 2003-02-05 11:26
Location: München/Unterschleißheim

Re: CHKROOTKIT installieren

Post by schl » 2004-03-18 19:44

ganz einfach, jedesmal die frischen binaries laden und damit den check durchführen