Sehr geehrte Damen und Herren,
wenn ich im Terminal den Befehl „sudo chkrootkit“ eingebe und mit returne bestätige, wird nach dem Passwort gefragt. Leider schreibt Ubuntu kein Passwort. Im Software-Center finde ich das „Paket chkrootkit“ zum Installieren auch nicht. Wie komme ich hier weiter, um den Rootkit-Test zu machen wie in Ausgabe 8/14 emfohlen?
Vielen Dank für Ihre Rückantwort.
Mit freundlichen Grüßen
OttokarBrill
Hallo Herr Brill,
Sie müssen natürlich als erstes das Paket checkrootkit installieren und es befindet sich bei Ubuntu in den Paketquellen und ist über die Paketverwaltung zu installieren. der genaue Eintrag lautet „Erkennungsprogramm für Rootviren“, das Paket selbst heißt wie in der Ausgabe angegeben chkrootkit, danach können Sie auch suchen.
Nun zum Problem mit dem Passwort:
Durch den Befehl sudo wird der nachfolgende Befehl mit root-Rechten (entspricht dem Administrator in Windows) ausgeführt. Das Passwort das Sie eingeben müssen, ist das Passwort des Benutzers mit dem Sie im Linuxystem sind, dieses haben Sie bei der Installation erstellt. Das zweite häufige Problem ist, das scheinbar nichts angenommen wird, wenn Sie das Passwort eingeben, dies ist eine Sicherheitsfunktion, das Passwort wird angenommen, es werden nur keine Zeichen – auch keine Platzhalter * – bei der Eingabe dargestellt.
Mit freundlichen Grüßen,
Dirk Kleemann
Schön, dass Ihre Frage beantwortet wurde!
Um weiterhin auf dem Laufenden zum Thema Technik und PC zu bleiben, nehmen Sie doch kostenlos teil an unseren monatlichen LIVE-Webinaren: hier klicken für Registrierungsseite. Bei diesen Online-Shows können Sie uns all Ihre Fragen rund um das Thema Computer stellen und lernen jeden Monat etwas Neues.
Hallo Herr Kleemann,
vielen Dank für Ihre schnelle Rückantwort. Es hat leider etwas länger gedauert bis ich die Eingabestelle im Softwarecenter gefunden hatte. Über die Dashseite ist es nicht gelungen. Der Suchlauf hat keinen Virenbefall ergeben. Alles sauber! Wird nun bei der Systemaktualisierung die Rootkit-Software ebenfalls aktualisiert oder muss ich ab und an ein Update durchführen?
Nochmals vielen Dank für die Hilfe.
Mit freundlichen Grüßen
Ottokar Brill
Hallo Herr Brill,
das Programm erhält wie alle anderen die Updates von der Paketverwaltung. nur Programme die Sie per Hand installieren erhalten keine Updates.
Das Programm läuft allerdings nicht im Hintergrund, wenn Sie den Rechner auf Rootkits untersuchen wollen, müssen Sie es jedesmal von Hand starten.
Mit freundlichen Grüßen,
Dirk Kleemann
Hallo Herr Kleemann,
vielen Dank für die Info; jetzt weiß ich bescheid.
Mit freundlichen Grüßen
Ottokar Brill
hallo Herr Kleemann,
ich habe nun noch eine Frage zu dem Update „rkhunter“ Wenn ich den Befehl „sudo rkhunter-update“ eingebe, wird er nicht erkannt. Woran kann das liegen? Der normale Test über „sudo chkrootkit“ läuft ordnungsgemäß ab.
Mit freundlichen Grüßen
Ottokar Brill
Hallo Herr Brill,
Sie haben den Befehl nicht richtig eingegeben, ich gebe zu manchmal ist die in der gedruckten Ausgabe schwer zu erkennen. Sie müssen rkhunter mit der Option -update starten, dann wir ein Update geacht. Es fehlt also ein leerzeichen. Richtig ist:
sudo rkhunter -update
Mit freundlichen Grüßen,
Dirk Kleemann
Hallo Herr Kleemann,
vielen Dank für die schnelle Rückantwort. Nach der Eingabe „sudo rkhunter -update“ erscheint folgende Meldung: „Invalid option spezified: -update“ Es erfolgt somit kein Update; oder ist der Stand so, dass kein Update nötig ist?
Wie ist diese Meldung zu bewerten?
Mit freundlichen Grüßen
Ottokar Brill
Hallo Herr Brill,
jetzt bin ich in die eigene falle geraten. Bei dem Befehl hat dem Setzer die Autokorrektur einen Streich gespielt. Der Korrekte Befehl wird mit zwei Bindestrichen eingegeben und die Autokorrektur hat einen Gedankenstrich daraus gemacht. Also noch mal:
sudo rkhunter --update
Mit freundlichen Grüßen,
Dirk Kleemann
Hallo Herr Kleemann,
das Uodate hat nun funktiniert. Mit der anschließenden Eingabe „sudo rkhunter“ wurde eine lange Liste erstellt, leider nur in englisch. Woran kann ich erkennen ob ein Virus vorhanden ist? Oder wird ein eventueller Virenbefall automatisch enternt?
Mit freundlichen Grüßen
Ottokar Brill
Hallo Her Brill,
leider kann ich Ihnen die Ausgabe von und was rkhunter macht nicht mal eben erklären. Um dies zu verstehen, muss man schon die tieferen Schichten des Linuxsystems verstehen. Es ist halt ein Tool, das sich an professionelle Nutzer wendet, da wird viel Wissen vorausgesetzt.
Sie sollten anhand der Ausgabe aber sehen können, ob etwas gefunden wird, Bei Verzeichnissen in denen alles in Ordnung ist, wird während des Scanvorgangs ein grünes OK ausgegeben. Beim Scan nach bekannten Rootkits erscheint ein grünes „not found“ wenn kein Befall vorliegt und so weiter. Sollte etwas gefunden werden, steht dies in roter Schrift hinter dem jeweiligen Eintrag.
Mit freundlichen Grüßen,
Dirk Kleemann
Hallo Herr Kleemann, folgende Liste erscheint nach Eingabe der Befehle; Sie können das einschätzen:ottokar@ottokar-HP-Compaq-6000-Pro-MT-PC:~$ sudo rkhunter –update
[sudo] password for ottokar:
[ Rootkit Hunter version 1.4.0 ]
Checking rkhunter data files…
Checking file mirrors.dat [ No update ]
Checking file programs_bad.dat [ No update ]
Checking file backdoorports.dat [ No update ]
Checking file suspscan.dat [ No update ]
Checking file i18n/cn [ No update ]
Checking file i18n/de [ No update ]
Checking file i18n/en [ No update ]
Checking file i18n/tr [ No update ]
Checking file i18n/tr.utf8 [ No update ]
Checking file i18n/zh [ No update ]
Checking file i18n/zh.utf8 [ No update ]
ottokar@ottokar-HP-Compaq-6000-Pro-MT-PC:~$ sudo rkhunter
Usage: rkhunter {–check | –unlock | –update | –versioncheck |
–propupd [{filename | directory | package name},…] |
–list [{tests | {lang | languages} | rootkits | perl | propfiles}] |
–config-check | –version | –help} [options]
Current options are:
–append-log Append to the logfile, do not overwrite
–bindir
-c, –check Check the local system
-C, –config-check Check the configuration file(s), then exit
–cs2, –color-set2 Use the second color set for output
–configfile
–cronjob Run as a cron job
(implies -c, –sk and –nocolors options)
–dbdir
–debug Debug mode
(Do not use unless asked to do so)
–disable
(Default is to disable no tests)
–display-logfile Display the logfile at the end
–enable
(Default is to enable all tests)
–hash {MD5 | SHA1 | SHA224 | SHA256 | SHA384 | SHA512 |
NONE |
(Default is SHA1, then MD5)
-h, –help Display this help menu, then exit
–lang, –language
(Default is English)
–list [tests | languages | List the available test names, languages,
rootkits | perl | rootkit names, perl module status
propfiles] or file properties database, then exit
-l, –logfile [file] Write to a logfile
(Default is /var/log/rkhunter.log)
–noappend-log Do not append to the logfile, overwrite it
–nocf Do not use the configuration file entries
for disabled tests (only valid with –disable)
–nocolors Use black and white output
–nolog Do not write to a logfile
–nomow, –no-mail-on-warning Do not send a message if warnings occur
–ns, –nosummary Do not show the summary of check results
–novl, –no-verbose-logging No verbose logging
–pkgmgr {RPM | DPKG | BSD | Use the specified package manager to obtain or
SOLARIS | NONE} verify file property values. (Default is NONE)
–propupd [file | directory | Update the entire file properties database,
package]… or just for the specified entries
-q, –quiet Quiet mode (no output at all)
–rwo, –report-warnings-only Show only warning messages
–sk, –skip-keypress Don´t wait for a keypress after each test
–summary Show the summary of system check results
(This is the default)
–syslog [facility.priority] Log the check start and finish times to syslog
(Default level is authpriv.notice)
–tmpdir
–unlock Unlock (remove) the lock file
–update Check for updates to database files
–vl, –verbose-logging Use verbose logging (on by default)
-V, –version Display the version number, then exit
–versioncheck Check for latest version of program
-x, –autox Automatically detect if X is in use
-X, –no-autox Do not automatically detect if X is in use
ottokar@ottokar-HP-Compaq-6000-Pro-MT-PC:~$
Ich hoffe, ich habe es nicht übertrieben. Das (no update) erscheint grün, alles andere ist weiß.
Mit freundlichen Grüßen
Ottokar Brill
Hallo Herr Brill,
der erste Aufruf mit der Option —update lädt die aktuellen Versionen der Definitionsdateien rkhunter, dies ist alles ok. Der zweite Aufruf ohne Optionen, zeigt ihnen die Optionen des Aufrufs an.
Mit
sudo rkhunter -c
oder auch
sudo rkhunter --check
starten Sie den Scan des Systems.
Mit freundlichen Grüßen,
Dirk Kleemann
Hallo Herr Kleemann,
ich habe den Scan durchgeführt und folgende Warnungen erhalten:
/usr/bin/unhide.rb [ Warning ]
Checking for hidden ports [ Skipped ]
Checking for passwd file changes [ Warning ]
Checking for group file changes [ Warning ]
Checking /dev for suspicious file types [ Warning ]
Checking for hidden files and directories [ Warning ]
All results have been written to the log file: /var/log/rkhunter.log
One or more warnings have been found while checking the system.
Please check the log file (/var/log/rkhunter.log)
Wie sind diese Hinweise zu bewerten und was soll ich tun, um das System sauber zu bekommen?
Mit freundlichen Grüßen
Ottokar Brill
Hallo Herr brill,
das meinte ich in einer meiner vorherigen Antworten, das man sich mit Linux auskennen muss, um die Ausgaben zu verstehen.
Die Warnungen betreffen versteckte Verzeichnisse und geschützten Dateien, die das Programm nicht untersuchen kann. Das sind die normalen Angaben und diese können ignoriert werden.
Genaueres steht immer im log-File, das bei der Ausgabe angegeben wurde, aber auch hier müssen Sie sich mit Linux gut auskennen, um zu verstehen was genau gemeint ist und was bedrohlich sein kann.
Warnungen sind nicht bedrohlich, Sie besagen das dies eben nicht untersucht werden kann.
Mit freundlichen Grüßen,
Dirk Kleemann
Hallo Herr Kleemann,
Wenn ja keine Schadprogramme vorliegen, bin ich beruhigt.
Somit ist das Thema abgehakt. Vielen Dank für Ihre Hilfe.
Mit freundlichen Grüßen
Ottokar Brill