So scannen Sie Ihren Linux-Computer auf Viren und Rootkits

Befürchten Sie, dass Ihr Linux-Computer mit Malware infiziert sein könnte? Haben Sie schon einmal nachgeschaut? Obwohl Linux-Systeme tendenziell weniger anfällig für Malware sind als Windows, können sie dennoch infiziert werden. Oftmals sind sie auch weniger offensichtlich gefährdet.

Es gibt eine Handvoll hervorragender Open-Source-Tools, mit denen Sie überprüfen können, ob Ihr Linux-System Opfer von Malware geworden ist. Obwohl keine Software perfekt ist, genießen diese drei einen guten Ruf und können darauf vertrauen, dass sie die meisten bekannten Bedrohungen erkennen.

1. ClamAV

ClamAV ist ein Standard-Antivirenprogramm und wird Ihnen wahrscheinlich am vertrautesten sein. Es gibt tatsächlich auch eine Windows-Version von ClamAV.

Installieren Sie ClamAV und ClamTK

ClamAV und sein grafisches Frontend sind separat verpackt. Das liegt daran, dass ClamAV auf Wunsch über die Befehlszeile ohne GUI ausgeführt werden kann. Dennoch ist die grafische Benutzeroberfläche von ClamTK für die meisten Menschen einfacher. Im Folgenden erfahren Sie, wie Sie es installieren.

Für Debian- und Ubuntu-basierte Distributionen:

Sudo apt install clamav clamtk

Sie können clamav und clamtk auch im Paketmanager Ihrer Distribution finden, wenn Sie keine Ubuntu-basierte Distribution verwenden.

Nachdem beide Programme installiert sind, müssen Sie die Virendatenbank aktualisieren. Im Gegensatz zu allem anderen bei ClamAV muss dies als Root oder mit Sudo erfolgen.

Es besteht die Möglichkeit, dass freshclam als Daemon ausgeführt wird. Um es manuell auszuführen, stoppen Sie den Daemon mit Systemd. Anschließend können Sie es normal ausführen.

sudo systemctl stop clamav-freshclam

Es wird einige Zeit dauern, also überlassen Sie einfach ClamAV die Arbeit.

Führen Sie Ihren Scan durch

Bevor Sie Ihren Scan ausführen, klicken Sie auf die Schaltfläche „Einstellungen“ und aktivieren Sie „Dateien scannen, die mit einem Punkt beginnen“, „Dateien scannen, die größer als 20 MB sind“ und „Verzeichnisse rekursiv scannen“.

Gehen Sie zurück zum Hauptmenü und klicken Sie auf „Verzeichnis scannen“. Wählen Sie das Verzeichnis aus, das Sie überprüfen möchten. Wenn Sie den gesamten Computer scannen möchten, wählen Sie „Dateisystem“. Möglicherweise müssen Sie ClamTK über die Befehlszeile mit sudo erneut ausführen, damit dies funktioniert.

Nach Abschluss des Scans zeigt Ihnen ClamTK alle entdeckten Bedrohungen an und ermöglicht Ihnen die Auswahl, was mit ihnen geschehen soll. Sie zu löschen ist natürlich am besten, kann aber das System destabilisieren. Es kommt darauf an, dass Sie Ihr Urteil fällen müssen.

2. Chkrootkit

Der nächste zu installierende Scan ist Chkrootkit. Es sucht nach einer Art von Malware, die speziell für Unix-ähnliche Systeme wie Linux und Mac gilt – dem Rootkit. Wie der Name schon sagt, besteht das Ziel von Rootkits darin, Root-Zugriff auf das Zielsystem zu erlangen.

Chkrootkit scannt Systemdateien auf Anzeichen böswilliger Veränderungen und gleicht sie mit einer Datenbank bekannter Rootkits ab.

Chkrootkit ist in den meisten Distributions-Repositorys verfügbar. Installieren Sie es mit Ihrem Paketmanager.

sudo apt install chkrootkit

Suchen Sie nach Rootkits

Dieser ist sehr einfach zu betreiben. Führen Sie den Befehl einfach als Root oder mit Sudo aus.

Es wird sehr schnell eine Liste potenzieller Rootkits erstellt. Bei manchen Anwendungen kann es zu einer kurzen Pause kommen, während Dateien durchsucht werden. Neben jedem sollte „nichts gefunden“ oder „nicht infiziert“ angezeigt werden.

Das Programm gibt nach Abschluss keinen Abschlussbericht aus. Gehen Sie also noch einmal durch und überprüfen Sie manuell, ob keine Ergebnisse angezeigt werden.

Sie können das Programm auch an grep weiterleiten und nach INFECTED suchen, aber das wird nicht alles abfangen.

Bekannte Fehlalarme

Es gibt einen seltsamen Fehler bei Chkrootkit, der ein falsch positives Ergebnis für Linux/Ebury meldet – Operation Windigo. Dies ist ein seit langem bekannter Fehler, der durch die Einführung eines -G-Flags in SSH verursacht wird. Sie können einige manuelle Tests durchführen, um zu überprüfen, ob es sich um ein falsches Positivergebnis handelt.

Führen Sie zunächst Folgendes als Root aus.

finde /lib* -type f -name libns2.so

Es sollte nichts auftauchen. Überprüfen Sie als Nächstes, ob die Malware keinen Unix-Socket verwendet.

netstat -nap |  grep „@/proc/udevd“

Wenn keiner der Befehle Ergebnisse liefert, ist das System sauber.

Es scheint auch ein ziemlich neues Fehlalarm für tcpd unter Ubuntu zu geben. Wenn auf Ihrem System ein positives Ergebnis zurückgegeben wird, untersuchen Sie es weiter. Beachten Sie jedoch, dass das Ergebnis möglicherweise falsch ist.

Möglicherweise stoßen Sie auch auf Einträge für wted. Diese können durch Beschädigungen oder Protokollierungsfehler bei Systemabstürzen verursacht werden. Verwenden Sie last, um zu prüfen, ob die Zeiten mit Neustarts oder Abstürzen übereinstimmen. In diesen Fällen wurden die Ergebnisse wahrscheinlich durch diese Ereignisse und nicht durch böswillige Aktivitäten verursacht.

3. Rkhunter

Rkhunter ist ein weiteres Tool zum Aufspüren von Rookits. Es empfiehlt sich, beide Chkrootkits auf Ihrem System auszuführen, um sicherzustellen, dass nichts durchs Raster fällt, und um Fehlalarme zu überprüfen.

Auch dieses sollte sich in den Repositories Ihrer Distribution befinden.

Sudo apt install rkhunter

Führen Sie Ihren Scan durch

Aktualisieren Sie zunächst die Datenbank von rkhunter.

Führen Sie dann Ihren Scan durch.

Das Programm stoppt nach jedem Abschnitt. Sie werden wahrscheinlich einige Warnungen sehen. Viele entstehen aufgrund suboptimaler Konfigurationen. Wenn der Scan abgeschlossen ist, werden Sie aufgefordert, einen Blick auf das vollständige Aktivitätsprotokoll unter /var/log/rkhunter.log zu werfen. Dort können Sie den Grund für jede Warnung sehen.

Außerdem erhalten Sie eine vollständige Zusammenfassung der Scanergebnisse.

Schlussgedanken

Hoffentlich ist Ihr System sauber geworden. Seien Sie vorsichtig und überprüfen Sie alle Ergebnisse, die Sie erhalten, bevor Sie drastische Maßnahmen ergreifen.

Wenn etwas berechtigterweise nicht stimmt, wägen Sie Ihre Optionen ab. Wenn Sie ein Rootkit haben, sichern Sie Ihre Dateien und formatieren Sie das Laufwerk. Es gibt wirklich keinen anderen Weg.

Halten Sie diese Programme auf dem neuesten Stand und scannen Sie sie regelmäßig. Die Sicherheit entwickelt sich ständig weiter und Bedrohungen kommen und gehen. Es liegt an Ihnen, auf dem Laufenden und wachsam zu bleiben.

Index
  1. 1. ClamAV
    1. Installieren Sie ClamAV und ClamTK
    2. Führen Sie Ihren Scan durch
  2. 2. Chkrootkit
    1. Suchen Sie nach Rootkits
    2. Bekannte Fehlalarme
  3. 3. Rkhunter
    1. Führen Sie Ihren Scan durch
  4. Schlussgedanken

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Go up