Hallo Community FRAGEN ZU "chkrootkit & rkhunter" Maleware gibt Warnung

    • Neu

    Hallo Community ,


    ich befasse mich in letzter Zeit auch immer mehr mit den Thema Linux und Sicherheit . (Wie Sicher ist ein Computer überhaupt noch)


    Letztes Thema war Uefi und Rootkits , Software wie Chipsec usw. . Da gibts unendlich viel drüber und die Maleware wird anscheinend immer mehr,

    bevor es die Anwender überhaupt erfahren.

    So jetzt meine Hauptfragen , habe die beiden Programme chkrootkit & rkhunter mal einen Scan über mein Ubuntu gemacht und es gab bei chlrootkit eine Warnung , siehe Screen.


    Ein Scan mit rkhunter hat ebenfalls eine Warnung ausgegeben . Kann dazu jemand was sagen ? Siehe Screen .


    Was mir noch aufgefallen ist , seit ich Ubuntu installiert habe , hat sich plötzlich meine Auflösung im Bootmenü im Uefi verändert und kann manuell nicht eingestellt werden !


    Ich meine es war seit der Ubuntu Installation . Eine Nachfrage bei Ubuntu ergab , das solche Veränderungen im Uefi nicht von Ubuntu stammen .


    Meine Meinung ist da hat sich ein Treiber im Framebuffer verändert , tief in der Firmware.


    ( WIe kann man das checken ? )


    Ich nutze ein AMD System . Parallel bin ich seit Tagen damit beschäftigt die Firmware unabhängig vom Betriebssystem mal gründlich zu chekcen.


    Komme leider nicht weiter . Die Software Chipsec unterstützt AMD Systeme nicht ausreichend.


    Mir wurde noch das Programm PLATBOX empfohlen (Github) . Leider keine Erfahrung damit.


    Jemand eine Idee wie man die Firmware Gründlich auf Veränderungen noch checken kann?


    Inzwischen gibt es Rootkits die direkt in der Fimrware sitzen . Vielleicht jemand Zeit und Interesse sich mit zu befassen.


    Da möchte man schon garkein Computer mehr ans Netz hängen ohne vorher die Firmware gecheckt zu haben und alle nötigen Härtungseinstellungen zu setzen.


    Danke

    • Neu

    Ich habe mal aufgeschnappt, dass man bei rkhunter für bestimmte Skripts Whitelists anlegen muss, damit nicht solche Warnung auftauchen (Du solltest mal im rkhunter log nach den Details schauen, aber da steht wahrscheinlich etwas davon das der Befehl lwp-request durch ein gleichnamiges Skript ersetzt wurde --- was Quark ist weil die Datei nunmal ein Skript ist).

    Kann es sein, dass Du direkt vor der Installation in Ubuntu irgendwelche Einstellungen am UEFI vorgenommen hast, damit Du Ubuntu von USB-Stick starten/installieren kannst? Die Einstellungen im UEFI hängen ja u.U. zusammen.

    Wenn Du ganz sicher gehen willst, dass niemand Dein UEFI korrumpiert hat, kannst Du evtl. die Version auslesen (z.B. via sudo dmidecode -t 0 auslesbar) und Dein UEFI mit dieser Version neu flashen.

    Keine Alternativen ? Kein Mitleid !

    Debian XFCE und Void XFCE

    • Neu

    Das rkhunter auch Fehlalarme rausgibt habe ich schon öfters gelesen.

    Darum wäre es super wenn sich damit jemand gut auskennt.


    Was das UEFI und Ubuntu betrifft schildere ich mal was vor sich ging.


    Ich war immer mit Windows 10 vorher im Netz. Später ist mir mit den Defender ungewöhnlicher Netzwerktraffic und verdächtige Systemdatein gemeldet worden.


    Im UEFI war kein Passwort gesetzt , mittlerweile kann man aus den Betriebssystemen egal ob Windows oder Linux schon das UEFI flashen oder sonstige Treiber in den Arbeitsspeicher laden , die sich bei einen Neustart so gut wie unbemerkt selbst installieren.


    Windows 10 verhielt sich danach auch ziemlich merkwürdig. Offene Ports wurden auch im Router von mir via NMAp gefunden.


    Den Router habe ich inzwischen getauscht . Ports waren geöffnet ohne das ich sie manuell wieder mit der normalen Routersoftware von ASUS schließen konnte.


    Wer möchte kann sich mal nach der Software Routersploit erkundigen.


    Das ganze geht jetzt auf meiner Fritzbox so ähnlich weiter . Gelegentliche Portscanns über NMAp zeigen immer wieder geöffnete Ports obwohl ich keine geöffnet habe.


    Erstmal soviel dazu. Das System hat sich auch schon öfters von alleine runtergefahren :)


    Was Ubuntu und das UEFI betrifft. NEIn ich habe NICHTS im UEFI vorher verstellt. Es gibt auch keine Einstellmöglichkeiten um die Auflösung zu verändern.


    Ich hatte Ubuntu zuerst auf der SSD installiert . irgendwann ist mir aufgefallen das die Auflösung anders ist als zuvor im UEFI und Boot Menü.

    Ich habe dann die SSD komplett gelöscht und alle Boot EFI Loader Partitionen dazu.


    Festplatte also wieder komplett auf 0 Gesetzt.


    Trotzdem blieb das UEFI mit der Auflösung anders. dann ließe das nur darauf schließen das sich etwas in den Firmwaretreibern verändert hat.


    Das dmicode auslesen habe ich schon gemacht , auch bootctl status . Ich bekomme einige Hinweise zu den Treibern und der Firmware , nur was bringt es genau ?


    Wonach soll man suchen , wenn man ein Rootkit odet ähnliches vermutet ?


    Selbst die spezielle Software von "Chipsec "habe ich getestet nur leider werden nicht alle Module für ein AMD System damit geladen.


    Der Medion Laptop hier war noch so gut wie neu . Werde ihn jetzt auch nur noch zu Testzwecke und Spaß-Surfen nutzen.


    Wenn mal ein neuer kommt sollen ALLE Sicherheitsrelevanten Sachen im voraus ausgeschlossen werden .


    Um ganz sicher zu gehen , will ich meine Firmware und die Treiber für Grafik (Framebuffer) mal komplett testen ob sie noch die von den Herstllern sind.


    Ich habe das UEFI gemäß einer Aktualisierung von Medion auf eine aktualisierung geflasht .


    Die Auflösung blieb trotzdem noch unverändert.


    Das heißt die Treiber für Grafik , Netzwerkkarten usw. bleiben trotzdem erhalten.


    Das sollte eigentlich , wenn sich eine Möglichkeit finden lässt , jeder selber mal Prüfen, in wie weit die Firmwaretreiber noch den originalen entsprechen.


    Es gibt mittlerweile ganz böse Rootkits die sich fest in die Firmwaretreiber schreiben lassen und das auch, aus einen laufenden System wenn jemand Fernzugriff drauf hat.

    Alles nach einen Neustart dann aktiv . Virenscanner bringen dann auch nichts mehr .


    Secureboot lässt sich so auch umgehen. Das ist eine neue Ära von Schadsoftware seit 2023 , die man ganz schwer ohne direktes wissen dazu aufdecken kann.


    Diese Form von Rootkits überleben jede Neuinstallation oder Festplattenwechsel , weil sie fest in der Firmware stecken.


    Ich habe das mit der Auflösung im UEFI bemerkt seit ich Ubuntu installiert hatte.


    Ubuntu Community Admins sagten , sowas würde Ubuntu nicht selbstständig machen.


    Wenn man ein Betriebssystem löscht von der SSD , sollte der Kernel auch verschwunden sein und nichts die Systemfirmware betreffen.


    Entweder Ubuntu hat da neue Treiber in den Framebuffer geschrieben oder es ist irgend etwas anders.


    Normal ist sowas auf alle Fälle nicht .

    2 Mal editiert, zuletzt von JKing (22. April 2024 um 21:53)

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!

Benutzerkonto erstellen Anmelden