Ga naar inhoud

🛡️ Hoofdstuk 16: Malware & Rootkit Detectie

In dit hoofdstuk leer je hoe je Linux-systemen kunt beschermen tegen malware en rootkits.
We behandelen de belangrijkste detectietools, hoe je ze installeert, uitvoert en hun sterke/zwakke punten.

🔹 chkrootkit

chkrootkit is een veelgebruikte tool om te scannen op bekende rootkits en verdachte systeemwijzigingen.

📥 Installatie / Update / Verwijderen

sudo apt install chkrootkit

sudo apt update && sudo apt upgrade chkrootkit

sudo apt remove chkrootkit

which chkrootkit
chkrootkit -V

▶️ Gebruik

sudo chkrootkit

📊 Voorbeeldoutput

ROOTDIR is `/'
Checking `amd'... not found
Checking `basename'... not infected
Checking `bindshell'... not found
Checking `lkm'... not found
Checking `rexedcs'... not found

Uitleg

  • Checking <rootkit>: controle op aanwezigheid van specifieke rootkits.
  • not found: rootkit niet aanwezig.
  • infected: verdachte activiteit of bestand gevonden.

Sterke punten

  • Lichtgewicht en snel.
  • Detecteert veel bekende rootkits.

Zwakke punten

  • Beperkt tot bekende rootkits.
  • Geen real-time monitoring.

🔹 rkhunter (Rootkit Hunter)

rkhunter controleert het systeem op rootkits, backdoors en lokale exploits. Het vergelijkt bestanden met bekende hashes en controleert permissies.

📥 Installatie / Update / Verwijderen

sudo apt install rkhunter

sudo apt update && sudo apt upgrade rkhunter

sudo apt remove rkhunter

which rkhunter
rkhunter --version

▶️ Gebruik

sudo rkhunter --check

📊 Voorbeeldoutput

[12:10:01] Checking for rootkits...
[12:10:05]   0 known rootkits detected.
[12:10:05] Checking the network...
[12:10:05]   No suspicious files found.

Uitleg

  • Checking for rootkits: doorzoekt systeem naar bekende rootkits.
  • Checking the network: controleert netwerkpoorten en processen.
  • suspicious files: markeert verdachte bestanden.

Sterke punten

  • Brede dekking (rootkits, backdoors, exploits).
  • Regelmatige updates van definities.

Zwakke punten

  • Kan valse positieven geven.
  • Scans kunnen relatief traag zijn.

🔹 lynis (Security Auditing)

lynis is een uitgebreide beveiligingsscanner die naast rootkits ook systeemconfiguraties, permissies en kwetsbaarheden controleert.

📥 Installatie / Update / Verwijderen

sudo apt install lynis

sudo apt update && sudo apt upgrade lynis

sudo apt remove lynis

which lynis
lynis show version

▶️ Gebruik

sudo lynis audit system

📊 Voorbeeldoutput

[+] Performing test ID ACC-0012 -- Checking password file
[+] Performing test ID PKG-0302 -- Checking package managers
[+] Performing test ID HRK-0002 -- Checking for known rootkits
[+] Result: No known rootkits found
Hardening index : 72 [###############      ]

Uitleg

  • audit system: voert een volledige beveiligingsscan uit.
  • Hardening index: geeft score van systeembeveiliging.
  • No known rootkits found: geen rootkits aangetroffen.

Sterke punten

  • Zeer uitgebreid → niet alleen rootkits.
  • Adviezen voor betere systeembeveiliging.
  • Actief onderhouden.

Zwakke punten

  • Kan overweldigend zijn door veel output.
  • Analyse vereist kennis van Linux-security.

📌 Samenvatting

  • chkrootkit → eenvoudige rootkit-scan.
  • rkhunter → uitgebreidere detectie (rootkits, backdoors, exploits).
  • lynis → allround security-audit inclusief rootkit-detectie.

Gebruik deze tools samen om maximale bescherming en inzicht in je systeem te krijgen.