Rootkit?

  • Hallo,
    ich habe letztens mal chkrootkit drüberlaufen lassen und da ist mir folgendes aufgefallen:


    Zitat

    Checking `lkm'... SIGINVISIBLE Adore found
    chkproc: Warning: Possible LKM Trojan installed


    LKM ist ja die Abkürzung für Linux Kernel Modul, also einen zusätzliches Modul, dass in den Kernel geladen wird. Und chkrootkit meint also, ein solches Modul wäre ein Trojaner. (Müsste soweit ja stimmen)


    Nun wollte ich fragen, was ich davon halten sollte? War das ein Fehlalarm (Debian Etch) von chkrootkit (rkhunter meldet nichts) oder ist es eine ernstzunehmende Bedrohung.
    Da man ja als vServer keinen Zugriff auf den Kernel hat (und somit auch nicht auf die LKM's), kann man als Kunde eigentlich auch nichts dagegen machen, oder?


    Diese Seite hab ich dazu gefunden (man muss etwas scrollen):
    http://www.linuxfocus.org/Deut…mber2002/article263.shtml

  • Hallo,
    ich denke da kann man dir Entwarnung geben. Diese Meldung erhalte ich nämlich auch auf beiden meiner vServer. Ich gehe einfach mal davon aus, dass Netcup die Wirtssysteme schon sorgfältig und verantwortungsbewusst administriert. ;)


    Viel mehr wurmt mich der Debian OpenSSL-Bug, vorallem bei Keys, die bereits mit längerer Laufzeit in kostenpflichtige Dienste eingebunden wurden. :mad:

  • Puhh. Schon Angst gehabt, was falsch gemacht zu haben (ist mein erster vServer, den ich selbst administriere).


    Den Debian-OpenSSL Bug hab ich schon behoben bzw. umgangen (Updates eingespielt und Schlüssel bei mir auf dem Rechner erzeugt)

  • Zitat

    Viel mehr wurmt mich der Debian OpenSSL-Bug, vorallem bei Keys, die bereits mit längerer Laufzeit in kostenpflichtige Dienste eingebunden wurden. :mad:


    Ja, das ist eine üble Geschichte. Ich bin froh das ich meinen Key nicht unter Debian erzeugt habe. Aber wer weiss was in Zukunft noch kommt :)


    Zitat

    Puhh. Schon Angst gehabt, was falsch gemacht zu haben (ist mein erster vServer, den ich selbst administriere).


    Wie ist das eigendlich bei einem Rootkit? Ein rootkit ändert doch etwas am Kernel richtig? Und es ist doch auch richtig das bei einem Vserver der Kernel nicht verändert werden kann? Also sind Rootkits doch nicht lebenfähig oder?


    Klärt mich mal bitte auf :)


    In diesem Sinne

  • Hallo,
    die Aussage würde ich soweit bestätigen, es muss nicht unbedingt ein Kernel-Modul sein. Ein Rootkit ist im Prinzip einfach irgendeine Art von Schadsoftware, die auf deinem Server eine Art Hintür offen hält, über die der Angreifer Zugriff zu deinem System erhält.


    Ein klassisches Beispiel hierfür wäre z.B. vor einigen Jahren der Bug im Kernel, wo man durch das Laden eines Moduls Root-Rechte erlangen konnte.


    Rein theoretisch könnte es aber auch z.B. ein PHP-Skript sein, dass die ganze Zeit läuft und von seinem Programmierer auf Befehle wartet, die es dann auf dem Server ausführt.
    Soetwas würde dann wahrscheinlich chkrootkit und rkhunter aber auch nicht entdecken.


    Wie dem auch sei, 100%ige Sicherheit gibt es nicht, und nur das Ausführen von chkrootkit&Co. brint rein gar nichts. Ein Angreifer würde als erstes nämlich das chkrootkit Binary so manipulieren, dass es nicht mehr Alarm schreit.

  • Zitat

    Wie dem auch sei, 100%ige Sicherheit gibt es nicht, und nur das Ausführen von chkrootkit&Co. brint rein gar nichts. Ein Angreifer würde als erstes nämlich das chkrootkit Binary so manipulieren, dass es nicht mehr Alarm schreit.


    Ich sehe dieses Problem auch. Diese ganzen Programme geben nur ein gutes Gefühl dem Anwender, ähnlich wie eine Software Firewall die ab und zu mal blinkt um zu sagen das sie ihr Geld wert ist :)


    Im Grunde hilft nur seinen Server zu überwachen und nach verdächtigen Aktionen ausschau zu halten (plötzlich steigender Traffic, hohe Prozessorauslastung usw.) selbst den Logs kann man nicht trauen.


    Und dieses Antihacker Gesetz macht es uns auch nicht leichter. Auf der einen Seite sind wir zu 100% haftbar für alles was die Server machen, auf der anderen Seite macht man sich strafbar wenn man versucht seinen Server zu testen.... Aber was will man machen?


    Saudumme Situation


    In diesem Sinne