Diejenigen von uns im UNIX-Land (und ja, Mac-Leute, das schließt dich ein) müssen sich nicht oft mit Malware herumschlagen. Über die genauen Gründe gibt es Raum für Diskussionen, aber nur wenige würden behaupten, dass Linux, BSD und OSX so hart oder so oft wie Windows betroffen sind. Dies macht uns jedoch nicht immun gegen Malware. Wir alle laden Software online herunter, und sogar diejenigen, die nur mit den Paketen ihres Software-Anbieters klarkommen, können immer noch von Bugs oder Sicherheitslöchern betroffen sein, die böse Leute oder Software in sich tragen können. Wie das alte Sprichwort sagt: "Eine Unze Prävention ist ein Pfund Heilung wert". Heute möchten wir Ihnen einige Möglichkeiten zeigen, wie Sie Ihr System scannen können, um sicherzustellen, dass keine fiesen Rootkits in den Schatten lauern.

Der schnelle und schmutzige persönliche Scan

Eine übliche Technik, die von einigen Malware-Autoren verwendet wird, besteht darin, eine normale System-Binärdatei durch eine zu ersetzen, die zusätzliche oder alternative Aktionen ausführt. Viele von ihnen versuchen sich zu schützen, indem sie ihre beschädigten Versionen unwandelbar machen, um die Infektion schwerer zu entfernen. Glücklicherweise hinterlässt dies Spuren, die von normalen Systemwerkzeugen aufgenommen werden können.

Verwenden Sie den Befehl lsattr, um die Attribute der Binärdateien Ihres Systems an Stellen wie / bin, / sbin und / usr / bin anzuzeigen (siehe Abbildung).

 lsattr / usr / bin 

Normale, nicht verdächtige Ausgabe sollte in etwa so aussehen.

Möglicherweise benötigen Sie Root-Rechte, um einige Orte wie / sbin zu scannen. Wenn die Ausgabe andere Attribute wie s, i oder a enthält, könnte dies möglicherweise ein Zeichen dafür sein, dass etwas nicht stimmt, und Sie möchten möglicherweise einen tieferen Scan durchführen, wie unten gezeigt.

Scanner # 1 - Chkrootkit

Chkrootkit ist ein Tool, mit dem Sie die wichtigen Dateien Ihres Systems scannen können, um festzustellen, ob einige von ihnen Anzeichen für bekannte Malware aufweisen. Es ist eine Gruppe von Skripten, die vorhandene Systemtools und Befehle verwenden, um Ihre Systemdateien und / proc- Informationen zu überprüfen . Aus diesem Grund wird empfohlen, es von einer Live-CD zu starten, auf der die Sicherheit besteht, dass die Basistools nicht bereits kompromittiert wurden. Sie können es von der Befehlszeile mit nur ausführen

 # Sie benötigen möglicherweise "sudo" für Root-Rechte chkrootkit 

Da chkrootkit jedoch standardmäßig keine Protokolldatei erstellt, würde ich empfehlen, die Ausgabe in eine Protokolldatei umzuleiten, wie mit

 chkrootkit> mylogfile.txt 

und wenn es fertig ist, öffnen Sie einfach die Protokolldatei in Ihrem Texteditor der Wahl.

Scanner # 2 - Rootkit-Jäger (rkhunter)

Rootkit Hunter verhält sich ähnlich wie chkrootkit, basiert aber größtenteils auf Hash-Checks. Die Software enthält bekanntermaßen gute SHA-1-Hashes gängiger Systemdateien, und wenn sich herausstellt, dass sich Ihre unterscheiden, wird je nach Bedarf ein Fehler oder eine Warnung ausgegeben. Rootkit Hunter könnte auch genauer genannt werden als chkrootkit, da es zusätzliche Prüfungen in Bezug auf den Netzwerkstatus, Kernel-Module und andere Teile beinhaltet, die chkrootkit nicht scannt.

Um einen normalen lokalen Scan zu starten, starte einfach

 # Sie benötigen möglicherweise "sudo" für Root-Rechte rkhunter -c 

Nach Abschluss des Vorgangs erhalten Sie eine Zusammenfassung mit den Ergebnissen Ihres Scans.

Rootkit Hunter erstellt standardmäßig eine Protokolldatei und speichert sie unter /var/log/rkhunter.log .

Fazit

Seien Sie gewarnt - diese beiden Anwendungen sowie die "manuelle" Methode können zu Fehlalarmen führen. Wenn Sie ein positives Ergebnis erhalten, untersuchen Sie es gründlich, bevor Sie etwas unternehmen. Hoffentlich kann eine dieser Methoden Ihnen helfen, eine Bedrohung zu identifizieren, bevor sie zu einem Problem wird. Wenn Sie weitere Vorschläge zur Erkennung bösartiger Dateien oder Anwendungen haben, teilen Sie uns dies bitte in den Kommentaren unten mit.

Bildnachweis: Rykertribe