Система поддержки ЦОД
Часто задаваемые вопросы: Общий FAQ
Как проверить Linux на наличие руткитов?
Автор Алексей Ефименко, Last modified by Алексей Ефименко на 15 декабря 2021 17:03
Под термином руткит (англ. root kit) понимается набор утилит, которые злоумышленник устанавливает на взломанном им компьютере после получения первоначального доступа. Этот набор, как правило, включает в себя разнообразные утилиты для получения прав суперпользователя root (отсюда и название), для «заметания следов» вторжения в систему, хакерский инструментарий (сниферы, сканеры) и троянские программы, замещающие основные утилиты UNIX. Rootkit позволяет хакеру закрепиться во взломанной системе и скрыть следы своей деятельности. (подробней в wikipedia).

chrootkit

Загружаем программу здесь. Или, если удобней:

wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz

Распаковываем, компилируем и запускаем:

 

tar xvfz chkrootkit.tar.gz
cd chkrootkit-0.47
make sense

chmod 755 chkrootkit

sudo ./chkrootkit

Пользователи Debian могут установить так:

sudo apt-get install chkrootkit

После проверки Вы должны увидеть следующую запись:

chkutmp: nothing deleted

Для всех проверяемых пунктов должно быть 'not found' или 'not infected'.

Можно автоматизировать проверку через cron, а результат получать на мыло. Но как пишут знающие люди, после проверки программу желательно удалить, чтобы пробравшийся злоумышленник не подозревал о ее существовании на Вашем компьютере. Здесь выбор за Вами.

rkhunter

Загружаем со страницы разработчкика:

wget http://downloads.rootkit.nl/rkhunter-1.2.7.tar.gz

Распаковываем и устанавливаем:

 

tar xvfz rkhunter-1.2.7.tar.gz
cd rkhunter
sudo ./installer.sh

Пользователи Debian и Ubuntu могут поставить привычным им способом:

sudo apt-get install rkhunter

После установки нужно запустить следующее:

sudo rkhunter --update

чтобы обновить базу данных руткитов/троянов/червей.
Для проверки системы на наличие или отсутствие этих "товарищей" запускаем:

sudo rkhunter -с

В конце вы должны получить отчет:

---------------------------- Scan results ----------------------------

MD5 scan
Scanned files: 0
Incorrect MD5 checksums: 0

File scan
Scanned files: 342
Possible infected files: 0

Application scan
Vulnerable applications: 0

Scanning took 188 seconds

-----------------------------------------------------------------------