Detectie van Linux-rootkits: tools en technieken voor serverbeveiliging

Rootkits geven aanvallers blijvende, verborgen toegang tot Linux-systemen. Ze manipuleren kernelbewerkingen, verbergen bestanden en processen en ontwijken standaard beveiligingstools. Sommige blijven jarenlang onopgemerkt. Om ze te detecteren is een gelaagde aanpak nodig, omdat geen enkele tool alles kan opsporen.

Dit bericht behandelt de belangrijkste soorten Linux-rootkits, hoe je hierop kunt scannen en de geavanceerde monitoringtechnieken die detecteren wat basisscanners missen.

Soorten Linux-rootkits

Rootkits werken op verschillende privilege-niveaus, en hoe dieper ze zitten, hoe moeilijker ze te vinden zijn.

Rootkits in gebruikersmodus draaien op applicatieniveau (Ring 3). Ze kapen dynamische koppelingen door LD_PRELOAD om kwaadaardige bibliotheken te injecteren die standaard C-bibliotheekfuncties zoals readdir of fopen, waardoor bestanden en processen worden verborgen voor tools in de gebruikersruimte.

Rootkits in kernelmodus draaien op Ring 0 door te laden als Loadable Kernel Modules (LKM's). Ze onderscheppen systeemaanroepen, manipuleren het kernelgeheugen en verbergen hun eigen aanwezigheid. Omdat ze aan specifieke kernelversies zijn gekoppeld, kan een verkeerd geconfigureerde rootkit een kernelpanic veroorzaken, wat deze ironisch genoeg blootlegt.

Op eBPF gebaseerde rootkits maken gebruik van het Extended Berkeley Packet Filter-subsysteem om in de kernelruimte te draaien zonder een traditionele module te laden. Ze hechten zich aan syscall-hooks, tracepoints of LSM-gebeurtenissen. Standaard LKM-scanners zullen ze niet zien. Boopkit is een bekend proof of concept dat met deze aanpak een verborgen C2-kanaal creëert.

io_uring-gebaseerde rootkits zijn de nieuwste variant. Ze gebruiken de io_uring asynchrone I/O-interface voor batchbewerkingen, waardoor er minder waarneembare syscall-gebeurtenissen worden gegenereerd. RingReaper, een experimentele rootkit, heeft aangetoond hoe dit stilletjes aanroepen zoals read, write, en connect terwijl EDR-tools worden omzeild.

Rootkit-type	Privilege-niveau	Hooking-methode	Detectiemoeilijkheid
Gebruikersmodus	Ring 3 (Gebruiker)	LD_PRELOAD, bibliotheekkaping	Matig
Kernelmodus	Ring 0 (Kernel)	Syscall-tabel, LKM, inline hooking	Hoog
Op eBPF gebaseerd	Ring 0 (Kernel)	eBPF-programma-attachment	Zeer hoog
io_uring-gebaseerd	Gebruiker/Kernel	Asynchrone I/O-batching	Zeer hoog

Scannen met chkrootkit en rkhunter

Twee tools vormen de basis voor het opsporen van rootkits op Linux-servers: chkrootkit voor snelle scans en rkhunter voor grondigere controles.

chkrootkit

chkrootkit is een shellscript dat kritieke systeembinaries (ls, ps, netstat, sshd, ifconfig) op tekenen van manipulatie. Het detecteert ook promiscue netwerkinterfaces en verwijderde logbestanden. Vanaf versie 0.59 (januari 2026) kan het meer dan 75 rootkits, wormen en LKM's identificeren, waaronder nieuwere bedreigingen zoals Linux BPFDoor, Syslogk en de XZ Backdoor.

Voer het uit na elke verdachte activiteit. Let op waarschuwingen van de ifpromisc component en waarschuwingen over verwijderde lastlog of wtmp bestanden.

rkhunter

rkhunter gaat nog een stap verder. Het vergelijkt SHA-1-hashes van systeembinaries met waargenomen goede waarden, controleert bestandsrechten en verborgen bestanden, controleert opstartconfiguraties en voert kernel- en netwerkanalyses uit.

Stel het vanaf het begin goed in:

# Establish a baseline after a clean install or update
rkhunter --propupd
 
# Update rootkit definitions
rkhunter --update
 
# Run a full scan (use --novl on production servers to reduce I/O)
rkhunter --check --enable all

Stel voor geautomatiseerde dagelijkse scans CRON_DAILY_RUN="true" in /etc/rkhunter.conf en gebruik --skip-keypress en --report-warnings-only voor schone uitvoer. Bekijk de logbestanden op /var/log/rkhunter.log en zet bevestigde valse positieven op de witte lijst.

LKM-rootkits detecteren

LKM-rootkits zijn bijzonder gevaarlijk omdat ze als kernel-extensies werken, waarbij ze systeemaanroepen onderscheppen en processen op kernelniveau verbergen. Standaardtools zoals lsmod ze niet, maar er zijn manieren om ze op te sporen.

Vergelijk lsmod de uitvoer met /sys/module/ de lijsten. Controleer de systeemlogs op verdachte kernelberichten:

# Look for out-of-tree module warnings
sudo dmesg | grep "loading out-of-tree module taints kernel"
 
# Check for module verification failures
grep "module verification failed" /var/log/syslog
 
# Run chkrootkit's LKM-specific check
sudo chkrootkit lkm

Zelfs rootkits die zich verbergen voor lsmod en /proc/modules (zoals Diamorphine) kunnen nog steeds worden gevonden door /sys/module/diamorphine/coresize of door syslog-waarschuwingen te bekijken.

Geavanceerde detectie: gedragsmonitoring en integriteitscontroles

Statische scanners hebben een fundamentele zwakte. In een experiment uit 2026 zorgde het toevoegen van een enkele null-byte aan een rootkit-binair bestand, een wijziging die geen invloed heeft op de functionaliteit, ervoor dat de detectiepercentages drastisch daalden. De detecties van Diamorphine daalden van 33/66 naar 8/64, alleen al door de symbooltabellen te verwijderen. Alleen vertrouwen op handtekeningen is niet voldoende.

Gedragsanalyse

In plaats van te vragen "komt dit bestand overeen met een bekende rootkit?", vraagt gedragsanalyse "doet dit proces iets ongewoons?" Houd deze signalen in de gaten:

• Gebruik Auditd om te kijken init_module() en finit_module() systeemaanroepen, die kernelmodules laden ongeacht de methode.
• Houd kill() aanroepen met signalen boven 31, wat kan duiden op verborgen rootkit-communicatie.
• Controleer /proc/sys/kernel/tainted op ongeautoriseerde activiteit van kernelmodules.
• Let op onverwachte .so bestanden in /tmp of /dev/shm.
• Volg eBPF-activiteit, met name bpf_probe_write_user aanroepen. Tools zoals BCC kunnen io_uring-bewerkingen traceren via tracepunten zoals sys_enter_io_uring_enter.

Specifiek voor eBPF- en io_uring-rootkits kunnen runtime-monitoringtools zoals Tetragon, Falco en Tracee de activiteit in de kernel in realtime observeren.

Monitoring van bestandsintegriteit

AIDE (Advanced Intrusion Detection Environment) creëert een baseline van vertrouwde systeembestanden en controleert op wijzigingen. Initialiseer met aide --init, en plan vervolgens aide --check via cron. Het houdt checksums, rechten, eigendom en tijdstempels bij op kritieke binaire bestanden zoals /bin/login en /usr/bin/sshd.

Voor verificatie op pakketniveau, debsums (Debian/Ubuntu) of rpm -Va (RHEL/CentOS) de integriteit van systeembestanden bevestigen. Voor de meest betrouwbare resultaten start je op vanaf vertrouwde reddingsmedia en inspecteer je het bestandssysteem offline, aangezien rootkits de rapportage van een actieve kernel kunnen manipuleren.

Controleer ook persistentiemechanismen. Rootkits wijzigen vaak /etc/ld.so.preload om gedeelde objecten te injecteren, of wijzigen .bashrc en .profile. Legitieme wijzigingen aan deze bestanden zijn zeldzaam, dus waarschuwingen hier hebben een hoge signaal-ruisverhouding.

Geautomatiseerde monitoring met Auditd

Voeg deze regels toe aan /etc/audit/rules.d/rootkit.rules voor realtime detectie van verdachte kernelactiviteit:

# Detect unauthorized kernel module loading
-a always,exit -F arch=b64 -S finit_module -S init_module
 
# Catch unusual high-range kill signals
-a always,exit -F arch=b64 -S kill -F a1>=32

Combineer deze met de automatische updates van rkhunter. Stel UPDATE_MIRRORS=1 en MIRRORS_MODE=0 in de configuratie, en voer rkhunter --propupd na legitieme systeemupdates om de baseline te vernieuwen.

Uw server beveiligen tegen rootkits

Detectie is belangrijk, maar preventie is beter. Voor de installatie van de meeste rootkits zijn verhoogde rechten nodig, dus het verkleinen van het aanvalsoppervlak maakt echt een verschil.

Houd de kernel en pakketten up-to-date. Aanvallers maken misbruik van niet-gepatchte kwetsbaarheden om rechten te escaleren en LKM- of eBPF-gebaseerde rootkits te implementeren. Werk na het patchen uw detectiebaselines bij met rkhunter --propupd.

Pas het principe van minimale rechten toe. Geef gebruikers of processen niet meer toegang dan ze nodig hebben. Gebruik SELinux of AppArmor voor verplichte toegangscontroles die ongeautoriseerde acties blokkeren, zelfs als een proces is gecompromitteerd.

Schakel het laden van kernelmodules na het opstarten uit. Op dedicated servers kunt u LKM-rootkits volledig voorkomen door het laden van modules na het opstarten van het systeem te blokkeren. Dit is niet mogelijk op shared hosting, wat een van de redenen is waarom dedicated of VPS-omgevingen een sterkere beveiligingspositie bieden.

Segmenteer uw netwerk. Door delen van uw infrastructuur te isoleren, beperkt u laterale bewegingen als één machine is gecompromitteerd.

Voer regelmatig audits uit. Tools zoals Lynis kunnen fouten in de machtigingen en verkeerde configuraties opsporen voordat aanvallers hiervan misbruik maken.

Conclusie

Rootkits zijn ontworpen om zich in het volle zicht te verbergen. Tegen de tijd dat er symptomen optreden, is het systeem mogelijk al zodanig aangetast dat eenvoudig herstel niet meer mogelijk is. Geen enkele scanner detecteert alles, en eenvoudige, op handtekeningen gebaseerde detectie is gemakkelijk te omzeilen.

Een praktische verdediging bestaat uit meerdere lagen:

• Regelmatige scans met chkrootkit en rkhunter voor bekende bedreigingen
• Auditd-regels en gedragsmonitoring voor verdachte kernelactiviteit
• Monitoring van bestandsintegriteit met AIDE om ongeautoriseerde wijzigingen op te sporen
• Runtime-tools zoals Tetragon of Falco voor eBPF- en io_uring-bedreigingen
• Versterkte toegangscontroles, patching en netwerksegmentatie om het aanvalsoppervlak te verkleinen

Automatiseer wat u kunt, houd baselines up-to-date en begin met een schone OS-installatie die u vertrouwt.

FDC Servers biedt dedicated en VPS-hosting met volledige root-toegang en aanpasbare kernelconfiguraties. Bekijk de opties voor dedicated servers om een versterkte Linux-omgeving op te zetten.