Rootkit-Detection

Überprüfen der offenen Ports

Installierter Schadcode öffnet sehr häufig eine eigene Verbindung ins Internet. Dafür macht die Malware in der Regel eine eigene Tür ins Netz auf. Zunächst einmal sollte jeder Administrator selbstverständlich wissen, was auf seinen Servern läuft und welche Ports er dafür benötigt. Alle anderen Ports sollten aus Sicherheitsgründen geschlossen sein. Linux macht es einem sehr einfach, zu überprüfen, ob andere Türchen ins Internet geöffnet sind. Das Tool dafür heißt nmap und ist normalerweise in jeder Standarddistribution enthalten. Eine sehr einfache Überprüfung lässt sich mit dem Aufruf

nmap –p 1-65535 <IP-Adresse>

durchführen. Das Programm scannt nun den Server mit <IP-Adresse> auf geöffnete Ports und gibt das Ergebnis auf dem Bildschirm aus.

Ist hier nun ein nicht gewünschter Port offen, sollte der Administrator dies genauer untersuchen. Diesen Aufruf können Sie zum Beispiel in einem Cronjob verwenden und sich eine Warnung schicken lassen, sobald sich etwas an dem Status der offenen Ports ändert.

nmap kann aber viel mehr und stellt eine große Anzahl an verschiedenen Schaltern zur Auswahl. Kommandozeilenliebhaber lesen diese wie unter Linux üblich in der Manual Page des Programms nach – man nmap .