База знаний: Linux Server
Проверка Linux на наличие руткитов.
Автор Алексей | HiTex.BY на 08 марта 2011 14:13
|
|
Под термином руткит (англ. root
kit) понимается набор утилит, которые злоумышленник устанавливает на
взломанном им компьютере после получения первоначального доступа. Этот
набор, как правило, включает в себя разнообразные утилиты для получения
прав суперпользователя root (отсюда и название), для «заметания следов»
вторжения в систему, хакерский инструментарий (сниферы, сканеры) и
троянские программы, замещающие основные утилиты UNIX. Rootkit
позволяет хакеру закрепиться во взломанной системе и скрыть следы своей
деятельности. (подробней в wikipedia). chrootkit Загружаем программу здесь. Или, если удобней: wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz Распаковываем, компилируем и запускаем: tar xvfz chkrootkit.tar.gz cd chkrootkit-0.47 make sense chmod 755 chkrootkit sudo ./chkrootkit Пользователи Debian могут установить так: sudo apt-get install chkrootkit После проверки Вы должны увидеть следующую запись: chkutmp: nothing deleted Для всех проверяемых пунктов должно быть 'not found' или 'not infected'. Можно автоматизировать проверку через cron, а результат получать на мыло.
Но как пишут знающие люди, после проверки программу желательно удалить,
чтобы пробравшийся злоумышленник не подозревал о ее существовании на
Вашем компьютере. Здесь выбор за Вами. rkhunter Загружаем со страницы разработчкика: wget http://downloads.rootkit.nl/rkhunter-1.2.7.tar.gz Распаковываем и устанавливаем: tar xvfz rkhunter-1.2.7.tar.gz cd rkhunter sudo ./installer.sh Пользователи Debian и Ubuntu могут поставить привычным им способом: sudo apt-get install rkhunter После установки нужно запустить следующее: sudo rkhunter --update чтобы обновить базу данных руткитов/троянов/червей. Для проверки системы на наличие или отсутствие этих "товарищей" запускаем: sudo rkhunter -с В конце вы должны получить отчет: ---------------------------- Scan results ---------------------------- MD5 scan Scanned files: 0 Incorrect MD5 checksums: 0 File scan Scanned files: 342 Possible infected files: 0 Application scan Vulnerable applications: 0 Scanning took 188 seconds ----------------------------------------------------------------------- | |
|
Комментарии (0)