Überprüfe ob Dein Server infiziert ist mit The Linux/Rst-B Backdoor (Debian Etch)

Version 1.0
Author: Falko Timme


Linux Rst-B ist eine Backdoor, die verwendet werden kann, um Deinen Server botnets (siehe http://www.heise.de/newsticker/meldung/103563 hinzuzufügen. Diese Kurzanleitung veranschaulicht, wie Du das Sophos Linux/RST-B detection tool installierst und verwendest, um Deinen Debian Etch Server zu überprüfen und herauszufinden, ob er mit Linux Rst-B infiziert ist.

Ich übernehme keine Garantie, dass dies auch bei Dir funktioniert!

1 Das Sophos Linux/RST-B Detection Tool runter laden und installieren

Ich möchte das Linux/RST-B Detection Tool im /usr/local/sbin Verzeichnis installieren (sodass das Detection Tool später in unserem PATH ist):

cd /usr/local/sbin
wget http://www.sophos.com/support/cleaners/detection_tool.tar.gz
tar xvfz detection_tool.tar.gz

Dann müsstest Du die Inhalte der tar.gz Datei im /usr/local/sbin/detection_tool Verzeichnis finden.

Es gibt zwei Möglichkeiten, das Detection Tool zu installieren: entweder verwendest Du die vorkompilierte Binärdatei, die Du im /usr/local/sbin/detection_tool/pre-compiled Verzeichnis findest, oder Du kompilierst es selbst. Ich werde beide Wege aufzeigen.

1.1 Die vorkompilierte Binärdatei

Um die vorkompilierte Binärdatei zu verwenden, kannst Du entweder einfach einen Symlink mit der Bezeichnung rst_detection_tool aus dem /usr/local/sbin Verzeichnis zu detection_tool/pre-compiled/detection_tool erstellen:

cd /usr/local/sbin
ln -s detection_tool/pre-compiled/detection_tool rst_detection_tool

Oder wir verschieben detection_tool/pre-compiled/detection_tool zu /usr/local/sbin und benennen es zu rst_detection_tool um:

cd /usr/local/sbin
mv detection_tool/pre-compiled/detection_tool rst_detection_tool

1.2 Das Detection Tool aus den Quellen erstellen

Um das Detection Tool aus den Quellen zu erstellen, installieren wir zunächst das Paket build-essential:

apt-get install build-essential

Danach erstellen wir das Detection Tool wie folgt:

cd /usr/local/sbin/detection_tool
make

Somit wird das Programm /usr/local/sbin/detection_tool/detection_tool erstellt. Ich möchte es direkt im /usr/local/sbin Verzeichnis haben und nenne es rst_detection_tool, also können wir entweder einen Symlink erstellen:

cd /usr/local/sbin
ln -s detection_tool/detection_tool rst_detection_tool

Oder wir verschieben detection_tool/detection_tool nach /usr/local/sbin und benennen es um in rst_detection_tool:

cd /usr/local/sbin
mv detection_tool/detection_tool rst_detection_tool

2 Verwendung des Linux/RST-B Detection Tools

Nun können wir das Detection Tool wie foglt verwenden:

Außerhalb des /usr/local/sbin Verzeichnisses:

rst_detection_tool [-v] <path>

Innerhalb des /usr/local/sbin Verzeichnisses müssen wir ./ voranstellen:

./rst_detection_tool [-v] <path>

Wenn Du also Dein ganzes Dateisystem überprüfen möchtest, verwendest Du einfach:

rst_detection_tool /

oder

./rst_detection_tool /

wenn Du in /usr/local/sbin bist.

Auf einem sauberen System sieht die Ausgabe wie folgt aus:

server2:/usr/local/sbin# ./rst_detection_tool /
Sophos Rst-B Detection Tool
---------------------------
Copyright (c) 2008 Sophos Plc. All rights reserved.

Scanned 43134 files, found 0 infections of Linux/Rst-B.
End of scan.
server2:/usr/local/sbin#

3 Links

0 Kommentar(e)

Zum Posten von Kommentaren bitte