Zum Inhalt springen
< Alle Themen
Drucken

Top Rootkit- und Virenscanner unter Linux!

Virenscanner oder Rootkitscanner unter Linux? Das ist doch gar nicht notwendig, oder doch?

Doch! Jedes Betriebssystem benötigt Sicherheitsscans, denn kein System ist sicher!
Wir klären Dich auf, welches Viren- oder RootKit-Scanner notwendig sind, um Dein Linux-System/Distribution ( Debian, Ubuntu, Fedora, CentOS, etc.) zu schützen!

In anderen Artikeln haben wir uns bereits mit den wichtigsten Firewallsystemen beschäftigt: Siehe auch „Firewall-Syteme unter Linux“ / IPTables / Firewall-NFTables

Thema : Auditing, Systemhärtung
=> Endpoint Security => End-user Endpoint Security

Hier beschäftigen wir uns mit der Notwendigkeit von Antivirensoftware und Rootkit-scannern unter Linux.
Zudem beschreiben wir, wie Du Deine Systeme automatisch auf Schadsoftware scannen kannst und Dich über die Logfiles ebenfalls automatisch per SMS oder eMail benachrichtigen lassen kannst.

Jedes Betriebssystem kennt Bedrohungen der eigenen Sicherheit.
Diese Bedrohungen können „Rootkits, Viren, Würmer, Malware“ oder andere Schafsoftware darstellen.

Am Ende des Tages zählt nicht der Mythos, ob ein System sicher ist, sondern ob Dein System infiltriert wurde oder nicht und wie teuer dieser Angriff war.

Spoiler-Alarm:
Die Kurzversion des Artikels: ClamAV + Lynis + rkhunter +Chkrootkit decken den Grundbedarf an Scanner ab, um Dein System regelmäßig auf Bedrohungen checken zu lassen.
Eine Firewall und weitere Sicherheitsmaßnahmen können die Systemsicherheit unterstützen.

Deine Logfiles können über Logwatch,logrotate und systemd-journald überwacht und analysiert werden.
Crontab-Dienst sorgt für entsprechende Automationen!

Linux-Benutzer haben oft den Eindruck, dass sie im Hinblick auf Cyber-Sicherheit gut aufgestellt sind und dass es daher nicht notwendig ist, einen Virenscanner zu verwenden. Doch ist das wirklich der Fall?

Brauche ich einen Virenscanner unter Linux?

Zunächst einmal ist es wichtig zu verstehen, dass Linux nicht immun gegen Malware ist. Auch wenn es seltener Ziel von Angriffen ist als Windows, gibt es immer noch Bedrohungen wie Viren, Trojaner und andere Arten von Malware. Vor allem, wenn man ein Server-basiertes Linux-Betriebssystem verwendet, ist es ratsam, eine Antivirensoftware zu installieren.

Welche Virenscanner gibt es für Linux?

Linux, das Betriebssystem der Denker und Dichter…. nein … Programmierer und Nerds…
Wie auch bei den Firewall-Systeme findet man im Antiviren-Bereich viele Anbieter und Sofrware-Produkte, die eine Lösung versprechen, jedoch kompliziert zu nutzen sind.

Im Antivirenbereich haben wir noch den Nachteil, dass große Firmen auch im Linux-Sektor mitmischen wollen und teure Antivirenkits anbieten. Sie sind oft teuer und bieten ggf. nicht den optimalen Service unter Linux.
Während der Zusammenstellung dieser Liste, musste ich viele Anbieter streichen, da sie Linux-Produkte aufgegeben haben. Wie zum Beispiel AVG und weitere Anbieter.

Top 15 …. 5 Antiviren-Software unter Linux

  1. ClamAV: https://www.clamav.net/
  2. Dr.Web Antivirus: https://products.drweb.com/linux/
  3. McAfee Endpoint Security for Linux:Trellix: https://docs.trellix.com/de-DE/bundle/endpoint-security-10.6.0-threat-prevention-product-guide-linux/page/GUID-A114C2B3-6AB0-4E7A-8D6F-24998C2ACAA2.html
  4. Comodo Antivirus: https://www.comodo.com/home/internet-security/antivirus-for-linux.php
  5. ESET NOD32 Antivirus: https://www.eset.com/int/business/antivirus-for-linux/
  6. Kaspersky Endpoint Security for Linux: https://www.kaspersky.com/small-to-medium-business-security/endpoint-linux
  7. Trend Micro: https://www.trendmicro.com/en_us/business/products/hybrid-cloud/server-protection/linux.html
  8. Symantec Endpoint Protection for Linux: https://www.symantec.com/products/endpoint-protection/linux

Top-Sieger ClamAV Antivirus unter Linux

Jede Linux-Installation sollte zumindest ClamAV nutzen!
Die kommerzielle Konkurrenz ist auf Linux-System fast nicht mehr verfügbar, zumindest was den einfachen Endkunden betrifft.
Für Business-Kunden gibt es viele Enterprise-Lösungen, gerade im Cloud-Bereich.

ClamAV ist ein Open-Source-Antivirus-Programm, das für verschiedene Betriebssysteme einschließlich Linux verfügbar ist. Die Installation von ClamAV ist auf den meisten Linux-Distributionen sehr einfach und kann in wenigen Schritten abgeschlossen werden.

Für Ubuntu, Debian, Pop!_OS und ähnliche Distributionen kann ClamAV über die Standard-Paketquellen installiert werden. Öffne einfach das Terminal und geben Sie den folgenden Befehl ein:

sudo apt-get install clamav

Für Fedora Rocky Linux, MX Linux, AlmaLinux, Oracle Linux und SCP Linux und ähnliche Distributionen kannst Du ClamAV über den Paket-Manager DNF installieren. Öffne das Terminal und gebe dort den folgenden Befehl ein:

dnf install clamav

Auf Manjaro und ähnlichen Arch-basierten Distributionen kannst Du ClamAV über Pacman installieren. Öffne das Terminal und gebe den folgenden Befehl ein:

sudo pacman -S clamav

Für Alpine Linux:

sudo apk add clamav

Für NixOS:

sudo nix-env -iA nixos.clamav

ClamAV ist eine tolle und kostenlose Option für Linux-Benutzer, die eine schnelle und zuverlässige Möglichkeit zum Scannen von Dateien und Verzeichnissen benötigen. Es ist auch eine der beliebtesten Open-Source-Optionen für die Virenbekämpfung unter Linux. Mit der Installation auf Ihrer Linux-Distribution sind Sie besser gegen Viren und andere Bedrohungen geschützt.

Quelle: https://www.clamav.net/documents/installing-clamav-on-linux

Was sind Rootkits bzw. Rootkitscanner?
Benötige ich einen Rootkitscanner?

Rootkit-Scanner sind meine heimlichen Favoriten, bei der Sicherheit meiner Systeme.
Sie laufen regelmäßig durch, geben mir ein gutes Gefühl der Sicherheit!

Was sind Rootkits?

Rootkits sind bösartige Programme, die darauf abzielen, unbefugten Zugriff auf ein Computer-System zu erhalten und es zu manipulieren, ohne vom Benutzer oder den vorhandenen Antivirenprogrammen erkannt zu werden. Sie können auf verschiedenen Ebenen des Betriebssystems versteckt sein, wie im Kernel oder in Treibern. Rootkits können zum Beispiel dazu verwendet werden, den Zugriff auf eine infizierte Maschine zu ermöglichen, Passwörter oder Daten abzufangen oder die Aktivitäten des Benutzers zu überwachen.

Wie wehre ich mich gegen Rootkits?

Einer der oben genannten Virenscanner ist schon einmal der erste und wichtigste Schutz, vor Bedrohungen.
Wie in anderen Artikeln beschrieben, hilft auch eine gute Firewall oder IPtables-Regeln.
ClamAV ist ein kostenloses Antivirenprogramm, das auch in der Lage ist, Rootkits zu erkennen und zu entfernen. Es kann unter verschiedenen Linux-Distributionen installiert werden, darunter Ubuntu, Fedora, Debian, Manjaro, Pop OS, Rocky Linux, MX Linux, Alpine Linux, NixOS, Alma-Linux, SCP Linux und Oracle Linux. Nichts spricht gegen eine solche Installation.

Aber es gibt sehr tolle Rootkit-Scanner, die bei mir tagtäglich das System prüfen:

Meine top 3 Rootkit-Scanner für Linux:

  1. rkhunter – https://sourceforge.net/projects/rkhunter/
  2. Chkrootkit – https://www.chkrootkit.org/
  3. Lynis – https://cisofy.com/lynis/

Was ist Rkhunter?

Rkhunter ist ein Rootkit-Scanner für Linux-Systeme. Es sucht nach verdächtigen Dateien und Programmen, die von bösartigen Angreifern installiert wurden, um Ihr System zu kompromittieren. Die Verwendung von Rkhunter kann helfen, Dein System zu schützen und es sicherer zu machen.

rkhunter (Rootkit Hunter) ist ein Open-Source-Tool, das Rootkits, Backdoors und andere Malware auf einem Linux-System aufspüren kann. Es durchsucht das System nach verdächtigen Aktivitäten und Dateien und kann Warnungen ausgeben, wenn es Anzeichen für einen möglichen Angriff findet.

Ein Beispiel: Wenn ein Angreifer einen Rootkit auf deinem System installiert hat, kann er die Dateien so manipulieren, dass sie sich gegenüber anderen Tools wie ls oder ps verstecken. rkhunter ist in der Lage, diese manipulierten Dateien zu finden und dich darüber zu informieren.

Die Installation von rkhunter ist recht einfach und kann in wenigen Schritten durchgeführt werden. Für Ubuntu- und Debian-basierte Systeme kannst Du einfach den Befehl „sudo apt-get install rkhunter“ in der Terminal-App eingeben. Wenn Du ein anderes Linux-System verwendest, findest Du die Anweisungen auf der offiziellen rkhunter-Website oder weiter unten. Wir beschreiben die Installation und Konfiguration von rkhunter für unterschiedliche Linuxdistributionen.

Was ist Chkrootkit unter Linux

Chrootkit ist ein kostenloses Sicherheits-Tool für Unix-ähnliche Systeme, das verwendet wird, um Rootkits aufzuspüren und zu entfernen. Es funktioniert durch Vergleichen von Informationen über Systemdateien und Prozesse mit den Informationen, die ein Angreifer möglicherweise versteckt, um seine Aktivitäten zu tarnen.

Ein Beispiel für die Nutzung von Chrootkit wäre, wenn ein Administrator verdächtige Aktivitäten auf seinem System bemerkt, wie z.B. unbekannte Prozesse, die im Hintergrund laufen, oder unerklärliche Änderungen an Systemdateien. Der Administrator könnte dann Chrootkit verwenden, um zu überprüfen, ob es sich um ein Rootkit handelt, das möglicherweise auf dem System installiert ist.

Die Vorteile von Chrootkit liegen darin, dass es ein effektives Werkzeug zur Erkennung von Rootkits ist und leicht auf vielen Unix-ähnlichen Systemen installiert werden kann. Es ist auch einfach zu bedienen und erfordert keine umfangreichen Kenntnisse der Systemadministration.

Was ist Lynis unter Linux?

Lynis ist ein leistungsfähiges Tool zur Überprüfung der Systemsicherheit unter Linux und Unix. Es ist einfach zu installieren und kann schnell wichtige Sicherheitslücken aufdecken. Lynis kann über 200 Tests ausführen, einschließlich der Überprüfung von Dateiberechtigungen, Netzwerkkonfiguration, Log-Dateien und mehr. Eine regelmäßige Verwendung von Lynis kann helfen, das System sicherer zu machen und die Einhaltung von Sicherheitsstandards zu gewährleisten. Ein Beispiel für die Verwendung von Lynis ist die Überprüfung von SUID- und SGID-Binärdateien auf dem System, um sicherzustellen, dass keine unerwünschten Berechtigungen vorhanden sind. Weitere Informationen und eine Installationsanleitung finden Sie auf der offiziellen Website von Lynis.

Welche Sicherheitsmaßnahmen gibt es gegen noch gegen Rootkits?

Wenn Du unsere Artikel zur Absicherung eines Linux-Systems verfolgt hast, dann hast Du bereits Deinen „Linux Kernel gehärtet“, Deine Firewall eingerichtet, Clam-AV als Virenscanner installiert, lässt Dein System regelmäßig mit „rkhunter“ und „chrootkit“ scannen…..
Dann bist Du schon auf einer sehr sicheren Straße!
Es gibt jedoch auch Maßnahmen, die man auf alle Bereiche anwenden kann und die sich im Sicherheitsalltag immer bewähren.

  1. Regelmäßige Updates durchführen: Stellen Sie sicher, dass Ihr Betriebssystem, Antivirenprogramm und alle Anwendungen auf dem neuesten Stand sind, um die neuesten Sicherheitspatches zu erhalten.
  2. Vermeiden Sie das Herunterladen von unbekannten Dateien: Laden Sie nur Dateien von vertrauenswürdigen Quellen herunter, um das Risiko einer Infektion zu minimieren.
  3. Verwenden Sie ein Antivirenprogramm: Ein Antivirenprogramm kann helfen, Rootkits zu erkennen und zu entfernen, bevor sie Schaden anrichten.
  4. Nutzen Sie eine Firewall: Eine Firewall kann helfen, unerwünschte Verbindungen von außen zu blockieren und somit das Eindringen von Rootkits zu verhindern.
  5. Vorsichtig bei E-Mails und unbekannten Links sein: Klicken Sie nicht auf verdächtige Links oder öffnen Sie keine Anhänge in E-Mails von unbekannten Absendern.
Next Section
Inhaltsverzeichnis