Как проверить Linux на наличие руткитов.
Сегодня я хочу рассказать о двух программах - chrootkit и rkhunter, с помощью которых можно легко проверить Linux на наличие руткитов. Под термином руткит (англ. root kit) понимается набор утилит, которые злоумышленник устанавливает на взломанном им компьютере после получения первоначального доступа. Этот набор, как правило, включает в себя разнообразные утилиты для получения прав суперпользователя root (отсюда и название), для «заметания следов» вторжения в систему, хакерский инструментарий (сниферы, сканеры) и троянские программы, замещающие основные утилиты UNIX. Rootkit позволяет хакеру закрепиться во взломанной системе и скрыть следы своей деятельности. (подробней в wikipedia).
chrootkit
Загружаем программу здесь. Или, если удобней:
wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
Распаковываем, компилируем и запускаем:
tar xvfz chkrootkit.tar.gz
cd chkrootkit-0.47
make sense
chmod 755 chkrootkit
sudo ./chkrootkit
Пользователи Debian могут установить так:
sudo apt-get install chkrootkit
После проверки Вы должны увидеть следующую запись:
chkutmp: nothing deleted
Для всех проверяемых пунктов должно быть 'not found' или 'not infected'.
Можно автоматизировать проверку через cron, а результат получать на мыло. Но как пишут знающие люди, после проверки программу желательно удалить, чтобы пробравшийся злоумышленник не подозревал о ее существовании на Вашем компьютере. Здесь выбор за Вами.
rkhunter
Загружаем со страницы разработчкика:
wget http://downloads.rootkit.nl/rkhunter-1.2.7.tar.gz
Распаковываем и устанавливаем:
tar xvfz rkhunter-1.2.7.tar.gz
cd rkhunter
sudo ./installer.sh
Пользователи Debian и Ubuntu могут поставить привычным им способом:
sudo apt-get install rkhunter
После установки нужно запустить следующее:
sudo rkhunter --update
чтобы обновить базу данных руткитов/троянов/червей.
Для проверки системы на наличие или отсутствие этих "товарищей" запускаем:
sudo rkhunter -с
В конце вы должны получить отчет:
---------------------------- Scan results ----------------------------
MD5 scan
Scanned files: 0
Incorrect MD5 checksums: 0
File scan
Scanned files: 342
Possible infected files: 0
Application scan
Vulnerable applications: 0
Scanning took 188 seconds
-----------------------------------------------------------------------
Надеюсь, на Вашем компьютере вы увидите аналогичные нолики.
Комментариев нет:
Отправить комментарий