Seite 1 von 18 12311 ... LetzteLetzte
Ergebnis 1 bis 10 von 176
  1. #1

    Beitrag Rootkit Hunter als 3rd-party-app

    Nach langer Pause mal wieder ein neuer Wurf von mir
    Da ja oft über die Sicherheit unserer DiskStation geredet wird, hier mal ein Tool das häufig auf im Internet befindlichen dedicated Linux Servern im Einsatz ist. Ich dachte mir, wieso eigentlich nicht auf unserer DiskStation laufen lassen? Und hier ist es nun, das Rootkit Hunter SPK.

    Einleitung:

    Rootkit Hunter ist ein Tool zum Aufspüren von Rootkits, Backdoors und lokalen Exploits auf Linux Systemen. Projectpage von Rootkit Hunter
    Folgende Tests werden durchgeführt:

    • MD5/SHA1 Hash Vergleich
    • Suche nach bekannen Rootkits
    • Überprüfung der Rechte von ausführbaren Dateien
    • Suche nach verstecksten Dateien
    • optional wird der Inhalt von Text und Binär Dateien gescannt
    Vorraussetzungen für den Betrieb von Rootkit Hunter generell:

    • Perl
    • diverse Utilities (find, wget, sed...)
    Vorraussetzungen für den Betrieb von rkhunter.spk speziell:

    Installation:

    Bei der Installation des Paketes wird überprüft, ob IPKG und die IPKG-Pakete coreutils sowie findutils vorhanden sind. Sollte IPKG fehlen, wird die Installation abgebrochen. Beim Fehlen eines des IPKG-Pakete werden diese nachinstalliert.
    Hintergrund: Das in der Firmware vorhandene find ist nicht vollständig kompatibel bzw. bietet nicht alle Optionen, desweiteren fehlen sha1sum und md5sum.

    Nach Installation des Paketes bitte die DSM-Seite aktualisieren und im Bereich Third-party applications den Eintrag Rootkit Hunter aufrufen. Das Paket enthält die eigentlichen Rootkit Hunter Binärdateien nicht, deshalb müssen sie vom SPK heruntergeladen und installiert werden. Dies dauert, abhängig von eurer DiskStation, eine Weile. Im Anschluss der Installation wird eine Datenbank von im System relevanten Dateien erstellt, welche für den späteren Vergleich herangezogen wird. Am Installationsende erscheint dann eine Meldung. Sollte Alles ordnungsgemäß verlaufen sein, wird durch Klick auf OK die Seite aktualisiert und die eigentliche Weboberfläche für den Rootkit Hunter erscheint.

    Bedienung:

    • Start: startet den Scan, vorab erscheint eine Sicherheitsabfrage (Dauer ca. 5 Minuten, abhängig von eurer DiskStation)

    • Update: sucht nach Updates für die Module, läd runter und installiert sie, vorab erscheint eine Sicherheitsabfrage (Dauer ca. 5 Minuten, abhängig von eurer DiskStation)

    • Stop: hiermit ist es möglich, einen laufenden Scan oder Update abzubrechen. Klappt allerdings nicht immer, da die Weboberfläche den Befehl manchmal nicht an die Shell abschicken kann. In diesem Fall hilft es, wenn man die Weboberfläche kurz verläßt und anschließend wieder aufruft. Im Statusfenster ist dann ein laufender Scan zu erkennen. Drückt man nun auf Stop, wird zu 99,9% der Prozess sofort abgebrochen. Das sollte auch bei einem Scan per Cronjob funktionieren.

    • enable Cronjob: damit wird ein Eintrag in der crontab geschrieben, welchen den Scan zu einer vorgegeben Zeit automatisch durchführt (default täglich um 0:30 Uhr). Zum Anpassen der Zeit in der crontab empfehle ich crontabs.spk.

    • enable Desktop icon: erzeugt einen Eintrag für den Desktop im DSM
    Die Auswertung des Logdatei bleibt jedem selber überlassen, Hilfen gibt es im Internet genug Einige Warnungen können, wie oben erwähnt, ignoriert werden, Andere sollte man unbedingt beachten und ggf. beseitigen. Es werden hier sicherlich der Eine oder Andere ihre Hilfe bei diversen Fragen anbieten, deswegen sind wir ja auch eine Community, oder etwa nicht?

    Anmerkungen:

    Rootkit Hunter bietet die Möglichkeit eine automatische Mail bei Warnungen zu verschicken, die ich aber nicht aktiviert habe. Grund: Es gibt wiederkehrende Warnungen, welche bedingt durch das DiskStation-Linux immer angezeigt würden. Man bekäme dann nach jedem Lauf eine Email, obwohl sich am Zustand der DiskStation Nichts geändert hat.
    Im Logfenster sieht man immer das aktuelle Log. Da die Logs bei jedem Lauf (Scan, Update) überschrieben werden, sollte man sich nach einem Scan das Log immer gleich anschauen und wenn benötigt wegsichern. In einer nächsten Version werde ich noch eine Logverwaltung mit automatischem Vergleich einbauen. Nur bei einer Abweichung würde dann eine Email generiert und versendet werden. Dazu kommt dann noch eine Konfiguration der diversen Kommandozeilen-Schalter, also eine webbasierende Anpassung der rkhunter.conf.

    Wie immer geht Alles auf eigene Kappe! Bei Problemen mit der Installation oder der Ausführung gebe ich gerne Hilfestellung.
    Angehängte Grafiken Angehängte Grafiken
    Angehängte Dateien Angehängte Dateien
    Geändert von Trolli (19.09.2009 um 22:23 Uhr) Grund: Version aktualisiert
    Diskstation: DS916+ 6.1.7-15284-2 8GB 15TB|DS1512+ 3GB 5.2-5967 12TB|DS214play 6.2.1-23824 2TB
    Workstation: i7-6700 32GB|34" IPS|Windows 10 64bit Pro
    UPS: APC Back CS 650
    Netzwerk: RT1900ac 1.1.7-6941-3 SD 64GB|2x TP-Link SG1008D|TP-Link SG2008|VKBD 100Mbit
    Smartclients: BQ Aquaris A4.5|ASUS TF101
    Mediaclients: EasyVDR 2.5/Kodi 16.1|Sony KDL-60W855|Samsung BD-C5500
    Projekte: CPH DDNS Updater RK Hunter Notification Forwarder Notification Messenger Growler iPKGui EBI

  2. #2
    Anwender Avatar von itari
    Registriert seit
    15.05.2008
    Beiträge
    21.903
    Blog-Einträge
    25

    Standard

    Super ... Klasse

    Bitte kopier das doch auch noch ins Wiki ...

    GPL3?

    Danke
    Itari
    207+ Basic(2x500) [1618] | 509+ Basic(1x500,4x2000) [2166] | 2411+ Basic-SSD(50), Raid-5(4x2000), SHR(3x750+1x1000+2x1500) [2166]

    Synology-Kontakt-Formular
    Come to the dark side, we have cookies!

  3. #3

    Standard

    Meine SPK's sind ja grundsätzlich GPL3, Rootkit Hunter selber ist GPL. Da ich nicht wußte, ob man den Rootkit Hunter mit in das Paket packen darf, wählte ich die Installation per SPK. Wollte ja keine Rechte verletzen Werde aber wohl in der nächsten Version auf dem Installationsscreen noch einen Hinweis bezüglich der Lizenz machen.

    Klar pack es noch ins Wiki und ergänze die Liste der SPK's, den Wiki Beitrag vielleicht aber auch erst morgen.
    Diskstation: DS916+ 6.1.7-15284-2 8GB 15TB|DS1512+ 3GB 5.2-5967 12TB|DS214play 6.2.1-23824 2TB
    Workstation: i7-6700 32GB|34" IPS|Windows 10 64bit Pro
    UPS: APC Back CS 650
    Netzwerk: RT1900ac 1.1.7-6941-3 SD 64GB|2x TP-Link SG1008D|TP-Link SG2008|VKBD 100Mbit
    Smartclients: BQ Aquaris A4.5|ASUS TF101
    Mediaclients: EasyVDR 2.5/Kodi 16.1|Sony KDL-60W855|Samsung BD-C5500
    Projekte: CPH DDNS Updater RK Hunter Notification Forwarder Notification Messenger Growler iPKGui EBI

  4. #4
    Anwender Avatar von itari
    Registriert seit
    15.05.2008
    Beiträge
    21.903
    Blog-Einträge
    25

    Standard

    Zitat Zitat von QTip Beitrag anzeigen
    Meine SPK's sind ja grundsätzlich GPL3, Rootkit Hunter selber ist GPL. Da ich nicht wußte, ob man den Rootkit Hunter mit in das Paket packen darf, wählte ich die Installation per SPK. Wollte ja keine Rechte verletzen

    Wenn die Teile selbst GPL sind, dann dürfte es keine Probleme machen, sie miteinzupacken .... allerdings hast dann eventuelle Updates am Hals ...

    Werde aber wohl in der nächsten Version auf dem Installationsscreen noch einen Hinweis bezüglich der Lizenz machen.

    Wegen mir nicht ... mir reicht an der Stelle der Hinweis, wo ich es downloade ... meine Frage ist dann einfach nur rhetorisch, weil ich mir sicher sein möchte ... (du kennst meine Diskussion dazu ja, ich will Skript-Beispiele gerne auch im Unterricht verwenden dürfen, ohne das mir dann jemand an den Kragen geht )

    Klar pack es noch ins Wiki und ergänze die Liste der SPK's, den Wiki Beitrag vielleicht aber auch erst morgen.
    *freu*

    Itari
    207+ Basic(2x500) [1618] | 509+ Basic(1x500,4x2000) [2166] | 2411+ Basic-SSD(50), Raid-5(4x2000), SHR(3x750+1x1000+2x1500) [2166]

    Synology-Kontakt-Formular
    Come to the dark side, we have cookies!

  5. #5

    Standard

    Ich muss bei einem Versionwechsel dann eh ein neues Paket bauen, da der Link zum Download leider nicht gleich bleibend ist. Hatte schon überlegt die CSV-Version zu benutzen, aber wer weiss was danach dann nicht mehr funktioniert Allerdings werden durch die Updatefunktion vom Rootkit Hunter die Module selbst erneuert. Konnte leider noch nicht testen, was bei einer komplett neuen Version und einem Update mit der Versionsnummer passiert.
    Meinst man kann eine CSV-Version ohne Bedenken benutzen? Für mich privat wäre das kein Ding, nur hier in der Community vielleicht nicht so prickelnd.
    Geändert von QTip (30.06.2009 um 00:32 Uhr)
    Diskstation: DS916+ 6.1.7-15284-2 8GB 15TB|DS1512+ 3GB 5.2-5967 12TB|DS214play 6.2.1-23824 2TB
    Workstation: i7-6700 32GB|34" IPS|Windows 10 64bit Pro
    UPS: APC Back CS 650
    Netzwerk: RT1900ac 1.1.7-6941-3 SD 64GB|2x TP-Link SG1008D|TP-Link SG2008|VKBD 100Mbit
    Smartclients: BQ Aquaris A4.5|ASUS TF101
    Mediaclients: EasyVDR 2.5/Kodi 16.1|Sony KDL-60W855|Samsung BD-C5500
    Projekte: CPH DDNS Updater RK Hunter Notification Forwarder Notification Messenger Growler iPKGui EBI

  6. #6
    Anwender Avatar von Mexx
    Registriert seit
    27.08.2007
    Beiträge
    543

    Standard

    @QTip

    danke für das nette Tool, habes installiert und funktioniert vorzüglich!

    wird eine Datenbank von im System relevanten Dateien erstellt
    wo legt er die an ? in MySql konnte ich nichts finden

    habe einige warnings erhalten, nicht viele:

    Code:
    [19:45:08] Info: No mail-on-warning address configured
    denke das wird die deaktivierte Mailfunktion sein

    Code:
    [19:45:21] Warning: Checking for prerequisites               [ Warning ]
    keine Ahnung was dies heißen soll ?

    Code:
    [19:48:09]   Checking if SSH root access is allowed          [ Warning ]
    also telnet (terminal) ist bei mir deaktiviert, aber was ist dann damit gemeint

    Code:
    [19:48:09] Warning: The SSH configuration option 'PermitRootLogin' has not been set.
               The default value may be 'yes', to allow root access.
    wie könnte ich dies lösen ?

    Code:
    [19:48:09]   Checking for syslog configuration file          [ Warning ]
    was soll ich da checken ?

    Code:
    [19:48:10] Warning: The syslog daemon is running, but no configuration file can be found.
    darf der nicht laufen ?

    so das wars an warning´s
    lg Mexx

    DS 216+II (DSM 6.2.1)
    Router RT2600ac
    WLan Punkt 2x RT2200ac

  7. #7

    Standard

    Zitat Zitat von Mexx Beitrag anzeigen
    @QTip

    danke für das nette Tool, habes installiert und funktioniert vorzüglich!
    gern geschehen

    Zitat Zitat von Mexx Beitrag anzeigen
    Zitat Zitat von QTip
    wird eine Datenbank von im System relevanten Dateien erstellt
    wo legt er die an ? in MySql konnte ich nichts finden
    eine Datenbank kann auch in einer Datei existieren., muss nicht zwingend MySQL sein, welche ja im Grunde auch nur aus Dateien besteht. Die Datei heisst rkhunter.dat und ist eine reine Textdatei.

    Zitat Zitat von Mexx Beitrag anzeigen
    habe einige warnings erhalten, nicht viele:

    Code:
    [19:45:08] Info: No mail-on-warning address configured
    denke das wird die deaktivierte Mailfunktion sein
    genau, man kann die Funktion auch noch explizit in der rkhunter.conf deaktivieren, da aber keine Mailadresse eingetragen ist, schickt er ne Warnung aus. In der nächsten Version werde ich das komplett deaktivieren, geht glaube aber nur per Kommandozeile mit dem Parameter --nomow. Da ich aber ein eigenes Shellscript für die Steuerung des Rootkit Hunters benutze, müsste man es dort anpassen.

    Zitat Zitat von Mexx Beitrag anzeigen
    Code:
    [19:45:21] Warning: Checking for prerequisites               [ Warning ]
    keine Ahnung was dies heißen soll ?
    Es testet die Vorraussetzungen/Bedingungen, ist bei mir auch als Warnung aufgepoppt. Da in dem Abschnitt dadrunter alles OK ist, habe ich das ignoriert.
    Zitat Zitat von Mexx Beitrag anzeigen
    Code:
    [19:48:09]   Checking if SSH root access is allowed          [ Warning ]
    also telnet (terminal) ist bei mir deaktiviert, aber was ist dann damit gemeint

    Code:
    [19:48:09] Warning: The SSH configuration option 'PermitRootLogin' has not been set.
               The default value may be 'yes', to allow root access.
    wie könnte ich dies lösen ?
    Wir loggen uns ja auf der DiskStation per Telnet oder SSH als root ein, deshalb die Meldung. Man müsste aus Sicherheitsgründen dieses Login deaktivieren und mit anderen Möglichkeiten dann die Rootrechte für diverse Aktionen erlangen, z.B, mit sudo und su. Weiss garnicht ob das möglich wäre, sollte man mal testen. Damit er die Warnung nicht mehr bringt, müsstest in der rkhunter.conf den Wert ALLOW_SSH_ROOT_USER=yes setzen
    Zitat Zitat von Mexx Beitrag anzeigen
    Code:
    [19:48:09]   Checking for syslog configuration file          [ Warning ]
    was soll ich da checken ?

    Code:
    [19:48:10] Warning: The syslog daemon is running, but no configuration file can be found.
    darf der nicht laufen ?
    Er meckert, da der SYSLOG-Daemon zwar läuft, er aber keine Konfigurationsdatei findet. Ich vermute mal, das der SYSLOG-Daemon bei der DS über Synology eigene Tools gesteuert wird. Evtl. würde man die Warnung beheben, wenn man eine leere Datei mit dem Namen syslog.conf in /etc ablegt.

    Zitat Zitat von Mexx Beitrag anzeigen
    so das wars an warning´s
    und genau deshalb habe ich die Mailfunktion nicht aktiviert. Einige Warnungen wie das mit dem Root-Access würde man noch beseitigen können, aber der Rest ist einfach zu spezifisch für unsere DS.
    Diskstation: DS916+ 6.1.7-15284-2 8GB 15TB|DS1512+ 3GB 5.2-5967 12TB|DS214play 6.2.1-23824 2TB
    Workstation: i7-6700 32GB|34" IPS|Windows 10 64bit Pro
    UPS: APC Back CS 650
    Netzwerk: RT1900ac 1.1.7-6941-3 SD 64GB|2x TP-Link SG1008D|TP-Link SG2008|VKBD 100Mbit
    Smartclients: BQ Aquaris A4.5|ASUS TF101
    Mediaclients: EasyVDR 2.5/Kodi 16.1|Sony KDL-60W855|Samsung BD-C5500
    Projekte: CPH DDNS Updater RK Hunter Notification Forwarder Notification Messenger Growler iPKGui EBI

  8. #8
    Anwender Avatar von Mexx
    Registriert seit
    27.08.2007
    Beiträge
    543

    Standard

    dank dir für die schnelle aufklärung
    lg Mexx

    DS 216+II (DSM 6.2.1)
    Router RT2600ac
    WLan Punkt 2x RT2200ac

  9. #9
    Anwender
    Registriert seit
    29.02.2008
    Beiträge
    27

    Standard im englischen Forum ...

    Hallo und vielen Dank für die Anleitung!!

    Habe im englischen Forum gesehen, dass zdDog (und sicherlich andere) auch sehr interessiert ist/sind ...

    http://forum.synology.com/enu/viewto...?f=130&t=15696

    Vielleicht ist da ja einer von euch schon aktiver ...

    Grüße
    -- DS 107+ & DS 213+ --

  10. #10
    Anwender Avatar von itari
    Registriert seit
    15.05.2008
    Beiträge
    21.903
    Blog-Einträge
    25

    Standard

    Zitat Zitat von lj1977 Beitrag anzeigen
    Habe im englischen Forum gesehen, dass zdDog (und sicherlich andere) auch sehr interessiert ist/sind ...
    Die dürfen auch gerne einen Blick hier ins Forum werfen Wir haben da ganz sicher keine Berührungsprobleme

    Itari
    207+ Basic(2x500) [1618] | 509+ Basic(1x500,4x2000) [2166] | 2411+ Basic-SSD(50), Raid-5(4x2000), SHR(3x750+1x1000+2x1500) [2166]

    Synology-Kontakt-Formular
    Come to the dark side, we have cookies!

Seite 1 von 18 12311 ... LetzteLetzte

Ähnliche Themen

  1. MRTG mit SNMP als 3rd-party-app
    Von QTip im Forum Andere 3rd Party Anwendungen
    Antworten: 10
    Letzter Beitrag: 04.09.2016, 11:22
  2. Idee für neue 3rd-Party-App: Audio-/Video Converter
    Von Systek im Forum Andere 3rd Party Anwendungen
    Antworten: 19
    Letzter Beitrag: 17.03.2016, 10:06
  3. Helpdesk als 3rd-party-apps
    Von itari im Forum Andere 3rd Party Anwendungen
    Antworten: 11
    Letzter Beitrag: 15.12.2010, 10:51
  4. 3rd-party App on Desktop
    Von Blade26 im Forum Andere 3rd Party Anwendungen
    Antworten: 23
    Letzter Beitrag: 11.02.2010, 18:29
  5. Proxy als 3rd Party App verfügbar?
    Von mtaeschler im Forum IPKG
    Antworten: 6
    Letzter Beitrag: 28.07.2008, 23:41

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •