Zum Inhalt
Sie sind in der Kategorie Server
Kategorien: Blog · Web · Server

Mittwoch, 28. Mai 2008

chkrootkit als täglicher Scan

Tags: , , , ,
Unser täglich cron-job gib uns heute…, dachte ich gestern. Der Admina Jammertal? Nein.
So mancher Sicherheitsscanner bringt ein cron skript mit.

chkrootkit ist einer der Rootkit-Scanner und ganz nützlich für Admins auf Servern und wohl auch auf Workstations. Natürlich gibt es auch noch rkhunter, aber paranoide Admins und Adminas sind eben seltsame Leutz.

Wie gesagt, Packages oder Tarballs gibt es für chkrootkit meist fertig – ja, ich weiß: die echten rootsloeffels kompilieren selbst –, nur fehlt meist ein cron-job und dafür erst Recht das Skript zum Starten von chkrootkit! Also kurz selbst tackern.
Für diejenigen, die des Skriptens müde oder unkundig sind, folgt der Shellcode. Für die ganz Tippfaulen ist im Repo das Skript als 01chkrootkit.sh zu finden.

#!/bin/sh
# 01-chkrootkit	a shell script running chkrootkit as daily cron job
# (c) 2008 by GwenDragon
# Licence: GPL  

TMPFILE=`mktemp /var/log/chkrootkit.XXXXXXXXXX` || exit 1

WARNING=0
INFECTED=0
SCANMESSAGE="All OK"
            
# checking
echo "chkrootkit: Checking for rootkits on `hostname` - `date`" > $TMPFILE
echo "-----------------------------" >> $TMPFILE
chkrootkit 2>&1 >> $TMPFILE
echo "-----------------------------" >> $TMPFILE

# check for infections or warnings
INFECTED=`grep "INFECTED" < $TMPFILE`
WARNING=`grep "Warning" < $TMPFILE`

if [ "$INFECTED" != 0 -o "$WARNING" != 0 ]; then
  echo "
#####################################
$WARNING
$INFECTED 
#####################################
" > /var/log/chkrootkit.log

  SCANMESSAGE="
#### Problems found or Rootkit detected!
---------
$WARNING
$INFECTED
---------

#### Immediately inspect /var/log/chkrootkit.log"

else
  echo "" > /var/log/chkrootkit.log
fi

cat $TMPFILE >> /var/log/chkrootkit.log

# warn by mail
echo "chkrootkit scan result on `hostname` - `date`: 
$SCANMESSAGE
" | mail -s "chkrootkit scanning `hostname` ..." root

rm $TMPFILE

Dann nur noch das Skript nach /etc/cron.daily/ kopieren und die Rechte auf 0755 setzen.

Dann sollte auch dieser Job an der Admina vorüber sein. Bis zur Meldung per Mail, dass chkrootkit … aber das sind ganz andere Geschichten.

Verwandte Einträge

Kommentar für Blogeintrag

Vorschau des Kommentars

Kommentar

Mit * gekennzeichnete Felder müssen angegeben werden.



(Nur Text ohne Formatierung möglich)

Hinweis zum Datenschutz

Falls es Probleme mit Kommentaren/Trackbacks gibt, bitte ich um eine Beschreibung per E-Mail.

TrackBack-URL: http://www.gwendragon.de/blog/Web/Server/chkrootkit-taeglicher-scan.html/trackback

↑Blogeintrag