- Mitglied seit
- 04. Sep 2008
- Beiträge
- 2.341
- Punkte für Reaktionen
- 14
- Punkte
- 84
Nach langer Pause mal wieder ein neuer Wurf von mir
Da ja oft über die Sicherheit unserer DiskStation geredet wird, hier mal ein Tool das häufig auf im Internet befindlichen dedicated Linux Servern im Einsatz ist. Ich dachte mir, wieso eigentlich nicht auf unserer DiskStation laufen lassen? Und hier ist es nun, das Rootkit Hunter SPK.
Einleitung:
Rootkit Hunter ist ein Tool zum Aufspüren von Rootkits, Backdoors und lokalen Exploits auf Linux Systemen. Projectpage von Rootkit Hunter
Folgende Tests werden durchgeführt:
Installation:
Bei der Installation des Paketes wird überprüft, ob IPKG und die IPKG-Pakete coreutils sowie findutils vorhanden sind. Sollte IPKG fehlen, wird die Installation abgebrochen. Beim Fehlen eines des IPKG-Pakete werden diese nachinstalliert.
Hintergrund: Das in der Firmware vorhandene find ist nicht vollständig kompatibel bzw. bietet nicht alle Optionen, desweiteren fehlen sha1sum und md5sum.
Nach Installation des Paketes bitte die DSM-Seite aktualisieren und im Bereich Third-party applications den Eintrag Rootkit Hunter aufrufen. Das Paket enthält die eigentlichen Rootkit Hunter Binärdateien nicht, deshalb müssen sie vom SPK heruntergeladen und installiert werden. Dies dauert, abhängig von eurer DiskStation, eine Weile. Im Anschluss der Installation wird eine Datenbank von im System relevanten Dateien erstellt, welche für den späteren Vergleich herangezogen wird. Am Installationsende erscheint dann eine Meldung. Sollte Alles ordnungsgemäß verlaufen sein, wird durch Klick auf OK die Seite aktualisiert und die eigentliche Weboberfläche für den Rootkit Hunter erscheint.
Bedienung:
Anmerkungen:
Rootkit Hunter bietet die Möglichkeit eine automatische Mail bei Warnungen zu verschicken, die ich aber nicht aktiviert habe. Grund: Es gibt wiederkehrende Warnungen, welche bedingt durch das DiskStation-Linux immer angezeigt würden. Man bekäme dann nach jedem Lauf eine Email, obwohl sich am Zustand der DiskStation Nichts geändert hat.
Im Logfenster sieht man immer das aktuelle Log. Da die Logs bei jedem Lauf (Scan, Update) überschrieben werden, sollte man sich nach einem Scan das Log immer gleich anschauen und wenn benötigt wegsichern. In einer nächsten Version werde ich noch eine Logverwaltung mit automatischem Vergleich einbauen. Nur bei einer Abweichung würde dann eine Email generiert und versendet werden. Dazu kommt dann noch eine Konfiguration der diversen Kommandozeilen-Schalter, also eine webbasierende Anpassung der rkhunter.conf.
Wie immer geht Alles auf eigene Kappe! Bei Problemen mit der Installation oder der Ausführung gebe ich gerne Hilfestellung.
Da ja oft über die Sicherheit unserer DiskStation geredet wird, hier mal ein Tool das häufig auf im Internet befindlichen dedicated Linux Servern im Einsatz ist. Ich dachte mir, wieso eigentlich nicht auf unserer DiskStation laufen lassen? Und hier ist es nun, das Rootkit Hunter SPK.
Einleitung:
Rootkit Hunter ist ein Tool zum Aufspüren von Rootkits, Backdoors und lokalen Exploits auf Linux Systemen. Projectpage von Rootkit Hunter
Folgende Tests werden durchgeführt:
- MD5/SHA1 Hash Vergleich
- Suche nach bekannen Rootkits
- Überprüfung der Rechte von ausführbaren Dateien
- Suche nach verstecksten Dateien
- optional wird der Inhalt von Text und Binär Dateien gescannt
- Perl
- diverse Utilities (find, wget, sed...)
Installation:
Bei der Installation des Paketes wird überprüft, ob IPKG und die IPKG-Pakete coreutils sowie findutils vorhanden sind. Sollte IPKG fehlen, wird die Installation abgebrochen. Beim Fehlen eines des IPKG-Pakete werden diese nachinstalliert.
Hintergrund: Das in der Firmware vorhandene find ist nicht vollständig kompatibel bzw. bietet nicht alle Optionen, desweiteren fehlen sha1sum und md5sum.
Nach Installation des Paketes bitte die DSM-Seite aktualisieren und im Bereich Third-party applications den Eintrag Rootkit Hunter aufrufen. Das Paket enthält die eigentlichen Rootkit Hunter Binärdateien nicht, deshalb müssen sie vom SPK heruntergeladen und installiert werden. Dies dauert, abhängig von eurer DiskStation, eine Weile. Im Anschluss der Installation wird eine Datenbank von im System relevanten Dateien erstellt, welche für den späteren Vergleich herangezogen wird. Am Installationsende erscheint dann eine Meldung. Sollte Alles ordnungsgemäß verlaufen sein, wird durch Klick auf OK die Seite aktualisiert und die eigentliche Weboberfläche für den Rootkit Hunter erscheint.
Bedienung:
- Start: startet den Scan, vorab erscheint eine Sicherheitsabfrage (Dauer ca. 5 Minuten, abhängig von eurer DiskStation)
- Update: sucht nach Updates für die Module, läd runter und installiert sie, vorab erscheint eine Sicherheitsabfrage (Dauer ca. 5 Minuten, abhängig von eurer DiskStation)
- Stop: hiermit ist es möglich, einen laufenden Scan oder Update abzubrechen. Klappt allerdings nicht immer, da die Weboberfläche den Befehl manchmal nicht an die Shell abschicken kann. In diesem Fall hilft es, wenn man die Weboberfläche kurz verläßt und anschließend wieder aufruft. Im Statusfenster ist dann ein laufender Scan zu erkennen. Drückt man nun auf Stop, wird zu 99,9% der Prozess sofort abgebrochen. Das sollte auch bei einem Scan per Cronjob funktionieren.
- enable Cronjob: damit wird ein Eintrag in der crontab geschrieben, welchen den Scan zu einer vorgegeben Zeit automatisch durchführt (default täglich um 0:30 Uhr). Zum Anpassen der Zeit in der crontab empfehle ich crontabs.spk.
- enable Desktop icon: erzeugt einen Eintrag für den Desktop im DSM
Anmerkungen:
Rootkit Hunter bietet die Möglichkeit eine automatische Mail bei Warnungen zu verschicken, die ich aber nicht aktiviert habe. Grund: Es gibt wiederkehrende Warnungen, welche bedingt durch das DiskStation-Linux immer angezeigt würden. Man bekäme dann nach jedem Lauf eine Email, obwohl sich am Zustand der DiskStation Nichts geändert hat.
Im Logfenster sieht man immer das aktuelle Log. Da die Logs bei jedem Lauf (Scan, Update) überschrieben werden, sollte man sich nach einem Scan das Log immer gleich anschauen und wenn benötigt wegsichern. In einer nächsten Version werde ich noch eine Logverwaltung mit automatischem Vergleich einbauen. Nur bei einer Abweichung würde dann eine Email generiert und versendet werden. Dazu kommt dann noch eine Konfiguration der diversen Kommandozeilen-Schalter, also eine webbasierende Anpassung der rkhunter.conf.
Wie immer geht Alles auf eigene Kappe! Bei Problemen mit der Installation oder der Ausführung gebe ich gerne Hilfestellung.
Anhänge
Zuletzt bearbeitet von einem Moderator: