__           __           __                     
.-----.--.--.----.| |.--.--.--| |.-----.--| | .-----.----.-----.
| -__|_ _| __|| || | | _ || -__| _ |__| _ | _| _ |
|_____|__.__|____||__||_____|_____||_____|_____|__|_____|__| |___ |
|_____|

[ visit www.excluded.org ]

chkrootkit howto
(c) 2003 by Takt <takt@excluded.org>

1. Vorwort
2. Chkrootkit besorgen
3. Installation
4. Auf root kit's testen
5. Auswertung
6. Irrtümer
7. Greetings

1. Vorwort:
Ich beschreibe in diesem Howto, wie man seine *nix Maschiene auf Rootkits überprüft, leider erkennt Chkrootkit nicht alle
Root Kit's. Solltet ihr immernoch der Annahme sein "meine Kiste wird schon nciht geh4x0rt werden", so liegt ihr definitiv
falsch. Auch ich habe mal so gedacht, das Ende vom lied war, dass mein Red Hat 9 Server, welcher eine von T-online
zugewiesen IP-Adresse hat, gerootet wurde, aufgefallen ist mir das nur dadurch, dass von heute auf morgen ein neuer Port
offen war. Also fühlt euch nicht sicher, sondern überprüft eure Systeme lieber auf Root Kit's. Chkrootkit ist dazu ein guter Anfang.

2. Chkrootkit besorgen:
Wir laden uns die neuste Version von Chkrootkit von www.chkrootkit.org herunter, dabei sollte es sich um ein Gepacktes Archiv
(tar.gz) handeln. Wichtig: Nach dem Download müssen alle weiteren Vorgänge als root (uid 0) ausgeführt werden.

3. Installation
Wir entpacken das herunter geladene archiv per "tar -xvfz <filename>". <filename> müsst ihr natürlich durch den richtigen Dateinamen
ersetzen. Danach wechseln wir per "cd chkrootkit*" in das Verzeichnis in welches wir unser Archiv entpackt haben.
Da wir hier nur die Sourcen haben, müssen wir die ganze Geschichte nun noch Compilieren, das geschieht mit make.
Damit wäre die Installationa uch schon abgeschlossen.

4. Testen auf Root Kit's:
Getestet wird das System ganz einfach der ./chkrootkit . Dies _muss_ als Root geschehen, da das Tool sonst keinen zugriff auf /dev/kmem
oder andere Devices bekommt, was zum testen jedoch nötig ist.

5. Auswertung:
Sollte irgendwo etwas von infected oder ähnlichem beim Test stehen, so könnt ihr ziemlich sicher sein ein Rootkit auf der Kiste zu haben.
Auch der Promiscmode auf Netzwerk-devices ist ein Indiz für einen Einbruch, natürlich nur dann, wenn ihr die Karte/Verbindung nicht selber in den Promiscmode versetzt habt.

6. Irrtümer:
Es kann durchaus vorkommen, dass chkrootkit irrtümlich Root Kit's meldet, das kann unteranderem dadürch passieren, dass ihr Programme
verändert habt und diese dann denen eines Root Kits sehr ähnlich sind. Also verlasst euch nicht blind auf die Software, aber ignoriert die
Warnungena uch nicht, sondern überprüft euer System lieber nochmal auf leere Logfiles etc.

7. Greetings:
Greetz to:
-Chrisco:   "was'n los ey?"
-maRc:      "HLTV schon probiert?"
-l0om:       "In Berlin sind wir eh am Start"
-XNet:      "ggggg"
-Lari:        "na du :)"
-Und alle die ich vergessen habe :D

Kopieren erlaubt, verändern verboten!

Takt