Erkennung von Linux-Rootkits: Tools und Techniken für die Serversicherheit

Rootkits verschaffen Angreifern dauerhaften, versteckten Zugriff auf Linux-Systeme. Sie manipulieren Kernel-Operationen, verbergen Dateien und Prozesse und umgehen gängige Sicherheitswerkzeuge. Manche bleiben jahrelang unentdeckt. Um sie zu erkennen, ist ein mehrschichtiger Ansatz erforderlich, da kein einzelnes Tool alles abdeckt.

Dieser Beitrag behandelt die wichtigsten Arten von Linux-Rootkits, wie man nach ihnen sucht und welche fortgeschrittenen Überwachungstechniken das aufspüren, was einfache Scanner übersehen.

Arten von Linux-Rootkits

Rootkits arbeiten auf verschiedenen Berechtigungsebenen, und je tiefer sie sitzen, desto schwieriger sind sie zu finden.

Rootkits im Benutzermodus laufen auf Anwendungsebene (Ring 3). Sie kapern die dynamische Verknüpfung, indem sie LD_PRELOAD , um bösartige Bibliotheken einzuschleusen, die Standardfunktionen der C-Bibliothek wie readdir oder fopen, und verbergen so Dateien und Prozesse vor Userland-Tools.

Rootkits im Kernel-Modus laufen auf Ring 0, indem sie als Loadable Kernel Modules (LKMs) geladen werden. Sie fangen Systemaufrufe ab, manipulieren den Kernel-Speicher und verbergen ihre eigene Präsenz. Da sie an bestimmte Kernel-Versionen gebunden sind, kann ein falsch konfiguriertes Rootkit einen Kernel-Panic verursachen, was es ironischerweise entlarvt.

eBPF-basierte Rootkits nutzen das Extended Berkeley Packet Filter-Subsystem aus, um im Kernel-Raum zu laufen, ohne ein traditionelles Modul zu laden. Sie heften sich an Systemaufruf-Hooks, Tracepoints oder LSM-Ereignisse an. Standard-LKM-Scanner erkennen sie nicht. Boopkit ist ein bekannter Proof-of-Concept, der mit diesem Ansatz einen verdeckten C2-Kanal erstellt.

io_uring-basierte Rootkits sind die neueste Variante. Sie nutzen die io_uring asynchrone I/O-Schnittstelle für Batch-Operationen und erzeugen so weniger beobachtbare Syscall-Ereignisse. RingReaper, ein experimentelles Rootkit, demonstrierte, wie dies Aufrufe wie read, writeund connect und dabei EDR-Tools zu umgehen.

Rootkit-Typ	Privilegienebene	Hooking-Methode	Schwierigkeit der Erkennung
Benutzermodus	Ring 3 (Benutzer)	LD_PRELOAD, Bibliotheks-Hijacking	Mäßig
Kernel-Modus	Ring 0 (Kernel)	Syscall-Tabelle, LKM, Inline-Hooking	Hoch
eBPF-basiert	Ring 0 (Kernel)	Anbindung von eBPF-Programmen	Sehr hoch
io_uring-basiert	Benutzer/Kernel	Asynchrones I/O-Batching	Sehr hoch

Scannen mit chkrootkit und rkhunter

Zwei Tools bilden die Grundlage für die Rootkit-Erkennung auf Linux-Servern: chkrootkit für schnelle Scans und rkhunter für tiefgreifendere Überprüfungen.

chkrootkit

chkrootkit ist ein Shell-Skript, das kritische Systembinärdateien (ls, ps, netstat, sshd, ifconfig) auf Anzeichen von Manipulation überprüft. Es erkennt außerdem promiskuitive Netzwerkschnittstellen und gelöschte Protokolle. Ab Version 0.59 (Januar 2026) kann es über 75 Rootkits, Würmer und LKMs identifizieren, darunter neuere Bedrohungen wie Linux BPFDoor, Syslogk und die XZ-Backdoor.

Führen Sie es nach jeder verdächtigen Aktivität aus. Achten Sie auf Warnungen der ifpromisc Komponente und auf Warnungen über gelöschte lastlog oder wtmp Dateien.

rkhunter

rkhunter geht noch einen Schritt weiter. Es vergleicht SHA-1-Hashes von Systembinärdateien mit bekanntermaßen korrekten Werten, überwacht Dateiberechtigungen und versteckte Dateien, überprüft Startkonfigurationen und führt Kernel- und Netzwerkanalysen durch.

Richten Sie es von Anfang an richtig ein:

# Establish a baseline after a clean install or update
rkhunter --propupd
 
# Update rootkit definitions
rkhunter --update
 
# Run a full scan (use --novl on production servers to reduce I/O)
rkhunter --check --enable all

Für automatisierte tägliche Scans setzen Sie CRON_DAILY_RUN="true" in /etc/rkhunter.conf und verwenden Sie --skip-keypress und --report-warnings-only für saubere Ausgabe. Überprüfen Sie die Protokolle unter /var/log/rkhunter.log und setzen Sie bestätigte Fehlalarme auf die Whitelist.

Erkennung von LKM-Rootkits

LKM-Rootkits sind besonders gefährlich, da sie als Kernel-Erweiterungen agieren, Systemaufrufe abfangen und Prozesse auf Kernel-Ebene verbergen. Standard-Tools wie lsmod erkennen sie nicht, aber es gibt Möglichkeiten, sie aufzuspüren.

Vergleichen Sie lsmod die Ausgabe mit /sys/module/ den Auflistungen. Überprüfen Sie die Systemprotokolle auf verdächtige Kernel-Meldungen:

# Look for out-of-tree module warnings
sudo dmesg | grep "loading out-of-tree module taints kernel"
 
# Check for module verification failures
grep "module verification failed" /var/log/syslog
 
# Run chkrootkit's LKM-specific check
sudo chkrootkit lkm

Selbst Rootkits, die sich vor lsmod und /proc/modules (wie Diamorphine) können dennoch durch die Überprüfung /sys/module/diamorphine/coresize oder durch die Überprüfung von Syslog-Warnungen.

Erweiterte Erkennung: Verhaltensüberwachung und Integritätsprüfungen

Statische Scanner weisen eine grundlegende Schwäche auf. In einem Experiment aus dem Jahr 2026 führte das Hinzufügen eines einzigen Null-Bytes zu einer Rootkit-Binärdatei – eine Änderung, die die Funktionalität nicht beeinträchtigt – zu einem drastischen Rückgang der Erkennungsraten. Die Erkennungsrate von Diamorphine sank von 33/66 auf 8/64, allein durch das Entfernen der Symboltabellen. Sich allein auf Signaturen zu verlassen, reicht nicht aus.

Verhaltensanalyse

Anstatt zu fragen „Stimmt diese Datei mit einem bekannten Rootkit überein?“, fragt die Verhaltensanalyse „Macht dieser Prozess etwas Ungewöhnliches?“ Überwachen Sie diese Signale:

• Verwenden Sie Auditd zur Überwachung init_module() und finit_module() Systemaufrufe, die unabhängig von der Methode Kernel-Module laden.
• Überwachen Sie kill() Aufrufe mit Signalen über 31, was auf verdeckte Rootkit-Kommunikation hindeuten kann.
• Überprüfen /proc/sys/kernel/tainted auf unbefugte Aktivitäten von Kernelmodulen.
• Achten Sie auf unerwartete .so Dateien in /tmp oder /dev/shm.
• Verfolgen Sie eBPF-Aktivitäten, insbesondere bpf_probe_write_user Aufrufe. Tools wie BCC können io_uring-Operationen über Tracepoints wie sys_enter_io_uring_enter.

Speziell für eBPF- und io_uring-Rootkits können Laufzeitüberwachungstools wie Tetragon, Falco und Tracee die Aktivitäten im Kernel in Echtzeit beobachten.

Überwachung der Dateiintegrität

AIDE (Advanced Intrusion Detection Environment) erstellt eine Basislinie vertrauenswürdiger Systemdateien und prüft diese auf Änderungen. Initialisieren Sie mit aide --init, dann über aide --check über cron ein. Es verfolgt Prüfsummen, Berechtigungen, Eigentumsrechte und Zeitstempel bei kritischen Binärdateien wie /bin/login und /usr/bin/sshd.

Für die Überprüfung auf Paketebene debsums können (Debian/Ubuntu) oder rpm -Va (RHEL/CentOS) die Integrität der Systemdateien bestätigen. Für die zuverlässigsten Ergebnisse starten Sie von einem vertrauenswürdigen Rettungsmedium und überprüfen Sie das Dateisystem offline, da Rootkits die Berichterstattung eines laufenden Kernels manipulieren können.

Überwachen Sie auch Persistenzmechanismen. Rootkits ändern häufig /etc/ld.so.preload , um Shared Objects einzuschleusen, oder ändern .bashrc und .profile. Legitime Änderungen an diesen Dateien sind selten, sodass Warnmeldungen hier ein hohes Signal-Rausch-Verhältnis aufweisen.

Automatisierte Überwachung mit Auditd

Fügen Sie diese Regeln /etc/audit/rules.d/rootkit.rules für die Echtzeit-Erkennung verdächtiger Kernel-Aktivitäten:

# Detect unauthorized kernel module loading
-a always,exit -F arch=b64 -S finit_module -S init_module
 
# Catch unusual high-range kill signals
-a always,exit -F arch=b64 -S kill -F a1>=32

Kombinieren Sie diese mit den automatischen Updates von rkhunter. Setzen Sie UPDATE_MIRRORS=1 und MIRRORS_MODE=0 in der Konfiguration und führen Sie rkhunter --propupd nach legitimen System-Updates aus, um die Baseline zu aktualisieren.

Absicherung Ihres Servers gegen Rootkits

Erkennung ist wichtig, aber Vorbeugung ist besser. Die meisten Rootkits benötigen für die Installation erweiterte Berechtigungen, daher macht die Verringerung der Angriffsfläche einen echten Unterschied.

Halten Sie den Kernel und die Pakete auf dem neuesten Stand. Angreifer nutzen ungepatchte Schwachstellen aus, um Berechtigungen zu erweitern und LKM- oder eBPF-basierte Rootkits einzusetzen. Aktualisieren Sie nach dem Patchen Ihre Erkennungs-Baselines mit rkhunter --propupd.

Wenden Sie das Prinzip der geringsten Berechtigungen an. Gewähren Sie Benutzern oder Prozessen nicht mehr Zugriff, als sie benötigen. Verwenden Sie SELinux oder AppArmor für obligatorische Zugriffskontrollen, die unbefugte Aktionen blockieren, selbst wenn ein Prozess kompromittiert ist.

Deaktivieren Sie das Laden von Kernel-Modulen nach dem Systemstart. Auf dedizierten Servern können Sie LKM-Rootkits vollständig verhindern, indem Sie das Laden von Modulen nach dem Systemstart sperren. Dies ist bei Shared Hosting nicht möglich, was ein Grund dafür ist, dass dedizierte oder VPS-Umgebungen eine höhere Sicherheitslage bieten.

Segmentieren Sie Ihr Netzwerk. Die Isolierung von Teilen Ihrer Infrastruktur begrenzt die laterale Bewegung, falls ein Rechner kompromittiert wird.

Führen Sie regelmäßige Audits durch. Tools wie Lynis können Berechtigungsfehler und Fehlkonfigurationen identifizieren, bevor Angreifer diese ausnutzen.

Fazit

Rootkits sind so konzipiert, dass sie sich vor aller Augen verstecken. Wenn Symptome auftreten, ist das System möglicherweise bereits so stark kompromittiert, dass eine einfache Wiederherstellung nicht mehr möglich ist. Kein einzelner Scanner erkennt alles, und eine einfache signaturbasierte Erkennung lässt sich leicht umgehen.

Eine praktische Abwehr kombiniert mehrere Ebenen:

• Regelmäßige Scans mit chkrootkit und rkhunter auf bekannte Bedrohungen
• Auditd-Regeln und Verhaltensüberwachung auf verdächtige Kernel-Aktivitäten
• Überwachung der Dateiintegrität mit AIDE, um unbefugte Änderungen zu erkennen
• Laufzeit-Tools wie Tetragon oder Falco für eBPF- und io_uring-Bedrohungen
• Verstärkte Zugriffskontrollen, Patching und Netzwerksegmentierung zur Verringerung der Angriffsfläche

Automatisieren Sie, was möglich ist, halten Sie Baselines auf dem neuesten Stand und beginnen Sie mit einer sauberen Betriebssysteminstallation, der Sie vertrauen.

FDC Servers bietet dediziertes und VPS-Hosting mit vollständigem Root-Zugriff und anpassbaren Kernel-Konfigurationen. Entdecken Sie die Optionen für dedizierte Server, um eine gehärtete Linux-Umgebung aufzubauen.