Часто задаваемые вопросы: Общий FAQ
Как проверить Linux на наличие руткитов?
Автор Алексей Ефименко, Last modified by Алексей Ефименко на 15 декабря 2021 17:03
|
|
Под термином руткит (англ. root kit) понимается набор утилит, которые злоумышленник устанавливает на взломанном им компьютере после получения первоначального доступа. Этот набор, как правило, включает в себя разнообразные утилиты для получения прав суперпользователя root (отсюда и название), для «заметания следов» вторжения в систему, хакерский инструментарий (сниферы, сканеры) и троянские программы, замещающие основные утилиты UNIX. Rootkit позволяет хакеру закрепиться во взломанной системе и скрыть следы своей деятельности. (подробней в wikipedia). chrootkit Загружаем программу здесь. Или, если удобней: wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz Распаковываем, компилируем и запускаем: tar xvfz chkrootkit.tar.gz cd chkrootkit-0.47 make sense chmod 755 chkrootkit sudo ./chkrootkit Пользователи Debian могут установить так: sudo apt-get install chkrootkit После проверки Вы должны увидеть следующую запись: chkutmp: nothing deleted Для всех проверяемых пунктов должно быть 'not found' или 'not infected'. Можно автоматизировать проверку через cron, а результат получать на мыло. Но как пишут знающие люди, после проверки программу желательно удалить, чтобы пробравшийся злоумышленник не подозревал о ее существовании на Вашем компьютере. Здесь выбор за Вами.
rkhunter Загружаем со страницы разработчкика: wget http://downloads.rootkit.nl/rkhunter-1.2.7.tar.gz Распаковываем и устанавливаем: tar xvfz rkhunter-1.2.7.tar.gz cd rkhunter sudo ./installer.sh Пользователи Debian и Ubuntu могут поставить привычным им способом: sudo apt-get install rkhunter После установки нужно запустить следующее: sudo rkhunter --update чтобы обновить базу данных руткитов/троянов/червей. Для проверки системы на наличие или отсутствие этих "товарищей" запускаем: sudo rkhunter -с В конце вы должны получить отчет: ---------------------------- Scan results ---------------------------- MD5 scan Scanned files: 0 Incorrect MD5 checksums: 0 File scan Scanned files: 342 Possible infected files: 0 Application scan Vulnerable applications: 0 Scanning took 188 seconds ----------------------------------------------------------------------- | |
|