23.07.2014

Rootkits beseitigen: Welche Programme braucht es dazu?

In einem anderen Beitrag hatten wir Sie über die Gefahren, die Ihrem System – ob Server oder Stand-Alone-Büro-PC – durch Rootkits drohen können, informiert. Die besondere Gefährlichkeit dieser Rootkits besteht darin, dass die Spuren eines Einbruchs und Befalls geschickt verwischt werden. Wie also nun sich vor solchen Schadprogrammen schützen und wehren, wenn man nicht einmal sicher sein kann, ob der eigene PC befallen ist? Wir zeigen Ihnen auf, wie Sie die Rootkits beseitigen und bekämpfen.

Von: Lars Behrens   Drucken Teilen   Kommentieren  

Lars Behrens, Dipl.-Paed

Lars Behrens ist Geschäftsführer der Firma MaLiWi IT. Staatlich geprüfter Netzwerkadministrator, Microsoft MCP/Linux LCP. Er hat langjährige Erfahrung in der Beratung bei Planung und Einrichtung von IT-Systemen und Netzwerken und dem Support heterogener Systeme (Apple Macintosh, Microsoft Windows, Linux). Universitätsstudium der Pädagogik, mehrere Jahre Tätigkeit im Ausland. Seminar- und Kursleiter, Referent und Fachbuchautor. Weiterhin ist er Herausgeber von dem Online-Fachportal «InformatikPraxis» bei der WEKA Business Media AG.

MaLiWi IT

 zum Portrait

Zu diesem Artikel wurden noch keine Kommentare geschrieben. Wir freuen uns, wenn Sie den ersten Kommentar zu diesem Artikel verfassen.
 
Kommentar schreiben

Bitte Wert angeben!

Bitte Wert angeben!

Bitte Wert angeben! Bitte geben Sie eine gültige E-Mail-Adresse ein!

Bitte Wert angeben!

Bitte Wert angeben!

Bitte Wert angeben!

Bitte alle fett beschrifteten Pflichtfelder ausfüllen.
Zurücksetzen
 
Rootkits beseitigen

Der Begriff Rootkits steht für eine Sammlung von Softwarewerkzeugen zur Kompromittierung (dem Befall) eines (Server-)Systems. Rootkits werden üblicherweise erst nach erfolgreichem Einbruch in das System installiert und sind mit den üblichen Bordmitteln, z.B. einer einfachen Dateisuche, einer Prüfung der Systemlogs oder der Prozesse im Taskmanager, in der Regel nicht aufzuspüren. Hier sind spezielle Programme gefragt – aber ebenso wichtig ist es, sich vor (erneutem) Rootkitsbefall zu schützen.  

Rootkits beseitigen und bekämpfen

Es gibt eine ganze Reihe an Programmen für die Erkennung und/oder Beseitigung von Rootkits – eine kleine Auswahl finden Sie in der untenstehenden Linkliste. Es sollte aber klar sein, dass auch diese Programme keine absolute Verlässlichkeit bieten. Ein verhältnismässig sicherer Weg besteht darin, ein befallenes System mit einer Live-CD zu booten und dann auf Rootkitsbefall zu untersuchen – in einem dermassen stillstehenden System hat das Rootkits natürlich keine Möglichkeit, sich aktiv vor unerwünschten Blicken zu verbergen.  

Zumeist muss ein erheblicher Aufwand betrieben werden, um Rootkits beseitigen und zukünftige Logins eines solchen Eindringlings zu erschweren oder am besten sogar zu verunmöglichen. Der radikalste Weg ist sicher immer die Neuinstallation des Betriebssystems. Damit haben Sie aber ein Problem, wenn es sich etwa um Ihren rund um die Uhr benötigten File-, Web-, Mail- oder Datenbankserver handelt. Fein heraus sind Admins, die regelmässig Images (in eine Datei gegossene Abbilder des Betriebssystems) anlegen. Es muss ja lediglich das letzte nicht identifizierte (kompromittierte) Systemabbild eingespielt und anschliessend ein Restore der aktuellen Daten aus dem täglichen Backup durchgeführt werden. Da kommen wir aber gleich zu der nächsten Frage: Welches ist denn das letzte saubere Abbild? Hier würden wir empfehlen, dieses zuerst in einer Testumgebung zu prüfen und auf Unversehrtheit zu überprüfen. Die Betreiber von Linuxservern haben es hier einmal mehr erheblich einfacher als die Kollegen mit den Windowsservern. Es gibt wirksame Recoverytools, mit denen ein befallenes System einfach wieder auf den Ursprungszustand zurückgesetzt werden kann. Bei der Verwendung solcher Tools ist es wichtig, dass das Referenzsystem direkt nach der fertigen Installation und Einrichtung erstellt worden ist und peinlichst auf Schadsoftware geprüft wurde.  

Daten- und Systemintegrations-Check

Das führt gleich zum nächsten Tipp: Arbeiten Sie, wo immer es geht, mit Programmen zum Daten- und Systemintegrations-Check! Ein solches Tool (Tripwire ist eines der bekanntesten Beispiele) wird gleich nach der fertigen Einrichtung eines Linuxservers aufgespielt – noch bevor das System an das Internet angeschlossen wird oder bevor möglicherweise bereits befallene Nutzdaten aufgespielt werden. Nun erstellt ein solches Tool aus sämtlichen Dateien des fertigen Systems eine Prüfsumme. Eine andere Variante besteht darin, die aktuell gesetzten Zugriffsrechte zu erfassen. In jedem Fall wird dieser Ist-Zustand eingefroren – zumeist in einer kleineren Datenbank. Es ist äusserst wichtig, exakt diese Quintessenz des sauberen und gewünschten Systemzustands auf einem nicht manipulierbaren Datenträger zu sichern – logischerweise bieten sich DVDs oder CDs an. Andere Medien wie zum Beispiel nichtlesbar gemountete Partitionen oder USB-Sticks sind nur die zweite Wahl, da diese bereits ein Sicherheitsrisiko durch die Möglichkeit der nachträglichen Manipulation enthalten, und eine solche Manipulation ist nicht nur gewünscht, sondern gerade die unbemerkte Änderung solcher wichtigen Systembestandteile ist ja kennzeichnend für ein Rootkits. Liegt also die Referenz von Datenprüfsummen und/oder Zugriffsrechten u.ä. auf einem nicht mehr veränderbaren Medium, wird das Integrations-Checkprogramm sofort Alarm schlagen, wenn Änderungen an den wichtigen Systemdateien vorgenommen werden.  

Übrigens enthalten auch prominente Rootkits-Jäger wie das bekannte rkhunter solche Prüfinstanzen. Der Administrator kann sich dann täglich durch eine Mail von Änderungen im System und verdächtige Aktionen und aktuelle Systemeinstellungen, die möglicherweise ein Sicherheitsrisiko beinhalten, informieren lassen – vorausgesetzt, der Rootkitshunter selber oder das übermittelnde Mailtool sind nicht ebenfalls kompromittiert. 

Eine solche, von dem Tool rkhunter automatisch erstellte Mail sieht beispielsweise so aus: 

Von: root@web02 (root)

Datum: 3. september 2010 06.51.06 GMT+02.00

An: undisclosed-recipients:; Betreff: [rkhunter] web02.intranet.de - Daily report  

Warning: Found enabled inetd service: ftp

Warning: The SSH and rkhunter configuration options should be the same: SSH configuration option 'PermitRootLogin': yes Rkhunter configuration option 'ALLOW_SSH_ROOT_USER': no Warning: Application 'gpg', version '1.4.9', is out of date, and possibly a security risk.

Warning: Application 'openssl', version '0.9.8g', is out of date, and possibly a security risk.

Warning: Application 'sshd', version '5.1p1', is out of date, and possibly a security risk.  

One or more warnings have been found while checking the system.

Please check the log file (/var/log/rkhunter.log)  

Es liegt natürlich auf der Hand, dass ein solcher Daten- und Systemintegrations-Check keine hundertprozentige Sicherheit bietet. So müssen logischerweise bestimmte Systembereiche wie Datenpartitionen und Logdateien von der Prüfsumme ausgenommen werden. Es gibt allerdings Tools, die auch solche dynamischen Systembereiche nach typischen Befallsmustern untersuchen können und bei Verdacht Alarm schlagen.  

Nicht vergessen werden darf, dass es zu Fehlalarmen kommen kann, da auch erwünschte oder durch den Administrator selbst durchgeführte Änderungen als möglicher Schädlingsbefall gemeldet werden.  

Zu guter Letzt soll nicht verschwiegen werden, dass es Rootkits gibt, die sich sogar im BIOS des Systems festsetzen und somit also nicht einmal durch eine Neuinstallation des Systems beseitigt werden können. Hier helfen nur spezielle Programme zum BIOS-Reset (flashen) und am besten ein von vornherein eingerichteter Schreibschutz für das BIOS.  

Wie Rootkits beseitigen?  

Links:
www.antirootkit.com
www.diagramm.net

www.gulli.com

Lohnenswert ist ein Besuch des Trojaner-Boards: www.trojaner-board.de  

Eine Auswahl an Programmen zur Erkennung und Beseitigung von Rootkits
GMER (Windows-Systeme): www.gmer.net 
F-Secure Blacklight: www.f-secure.com
RootkitRevealer: www.technet.microsoft.com
Windows Malicious Software Removal Tool: www.microsoft.com
ProcessGuard: www.diamondcs.com.au  

MaLiWi IT

Produkt-Empfehlungen

  • InformatikPraxis

    InformatikPraxis

    DIE ultimative Praxislösung für IT-Entscheider!

    ab CHF 168.00

  • Das elektronische Datenschutzhandbuch

    Das elektronische Datenschutzhandbuch

    Sattelfest im Datenschutz - dank dieser Praxis-Lösung.

    Mehr Infos

  • IT-Sicherheit

    IT-Sicherheit

    Schützen Sie Ihr Unternehmen konsequent vor Systemstörungen und Risiken.

    Mehr Infos

Seminar-Empfehlung

Praxis-Seminar, 1 Tag, ZWB, Zürich

IT-Verträge entwerfen und verhandeln

Rechtssicherheit bei IT-Projekten, Outsourcing und Cloud Computing

Nächster Termin: 19. Juni 2018

mehr Infos