Alltägliche Frage:
"Können Sie bitte meinen Server durchchecken?"
Meine übliche Antwort:
"Ja, aber was erhoffen Sie sich davon, oder wonach soll ich speziell suchen?"
Die meist unqualifizierte Antwort des (noch) potenziellen Kunden:
"Naja, nach Sicherheitslücken, nötigen Updates, Firewall und so..."
Übliche Vorgehensweise:
Einloggen, Anzahl der Server-Reboots überprüfen, Syslog/Messages grob checken, Speicher- und Prozessauslastung anschauen, einen Blick in die PHPinfo werfen und einige Scripte laufen lassen.
Das Geheimnis daran ist natürlich, die Daten auswerten zu können und die entsprechenden Maßnahmen einzuleiten oder den Kunden über die anstehenden Probleme aufzuklären.
Dabei helfen in der Regel folgende Scripte:
- Rootkit Hunter und/oder chkrootkit
- Lynis
- und ein eigenes Script
Dabei ist immer wichtig die aktuellsten Versionen zu nutzen.
ChkRootkit
ChkRootkit muß immer erstmal kompiliert werden:
cd /usr/local/src
wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
tar xzf chkrootkit.tar.gz
cd chkrootkit*
make sense
#starten ./chkrootkit
Rootkit Hunter
Einfach runterladen, auspacken, aufrufen:
cd /usr/local/src
wget http://heanet.dl.sourceforge.net/sourceforge/rkhunter/rkhunter-1.3.2.tar.gz
tar xzf rkhunter-1.3.2.tar.gz
cd rkhunter-1.3.2
./installer
#starten rkhunter --check
Lynis
Lynis kommt aus dem selben Haus wie Rootkit Hunter.
cd /usr/local/src/
wget http://www.rootkit.nl/files/lynis-1.1.8.tar.gz
tar xzf lynis-1.1.8.tar.gz
cd lynis-1.1.8
#starten (interaktiv): ./lynis --checkall #starten (Volldurchlauf): ./lynis --checkall --cronjob --no-colors
Kategorien:
Stichwörter:
sicherheit · check · security · lynis · rootkit · hunter · chkrootkit ·