Rootkit-Detection

Der Portscanner amap

Mit amap liefert WHAX einen weiteren Portscanner. Es handelt sich dabei um ein reines Kommandozeilen-Tool. Mit diesem Tool lassen sich jedoch auf die Schnelle Services an bestimmten Ports identifizieren. Normalerweise laufen zum Beispiel http- oder smtp-Dienste auf den Ports 80 beziehungsweise 25. Das muss aber nicht immer der Fall sein. Gerade ssh wird aus Sicherheitsgründen gerne vom Standardport 22 auf einen alternativen Port gelegt. Das Programm sendet einen so genannten Protokoll-Handshake an den angegebenen Port und wartet auf eine Antwort, die es dann als Output auf dem Bildschirm anzeigt. Dabei können Sie durch Trennung mittels Leerzeichen auch mehrere Ports hintereinander angeben. Ein Aufruf sieht dann zum Beispiel so aus:

amap <IP-Adresse> 21 22 80 443 25

Dieser scannt nun die hinter der IP-Adresse angegebenen Ports und verrät Ihnen, welche Services dort laufen.

Diese Vorgehensweise ist wichtig bei der Erkennung von Rootkits oder anderem Schadcode. Sie dürfen nicht immer gleich Böses vermuten, wenn etwas vom Standard abweicht. Vernünftiger ist es, zuerst einmal nachzusehen, was sich hinter dem offenen Port befindet, um dann entsprechend zu reagieren. Weitere Funktionen und Switches zu amap erhalten Sie durch Aufruf der Manual Page des Programms – man amap.