четверг, 7 мая 2009 г.

Как проверить Linux на наличие руткитов.

Как проверить Linux на наличие руткитов.

Сегодня я хочу рассказать о двух программах - chrootkit и rkhunter, с помощью которых можно легко проверить Linux на наличие руткитов. Под термином руткит (англ. root kit) понимается набор утилит, которые злоумышленник устанавливает на взломанном им компьютере после получения первоначального доступа. Этот набор, как правило, включает в себя разнообразные утилиты для получения прав суперпользователя root (отсюда и название), для «заметания следов» вторжения в систему, хакерский инструментарий (сниферы, сканеры) и троянские программы, замещающие основные утилиты UNIX. Rootkit позволяет хакеру закрепиться во взломанной системе и скрыть следы своей деятельности. (подробней в wikipedia).

chrootkit

Загружаем программу здесь. Или, если удобней:

wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz

Распаковываем, компилируем и запускаем:

tar xvfz chkrootkit.tar.gz
cd chkrootkit-0.47
make sense

chmod 755 chkrootkit

sudo ./chkrootkit

Пользователи Debian могут установить так:

sudo apt-get install chkrootkit

После проверки Вы должны увидеть следующую запись:

chkutmp: nothing deleted

Для всех проверяемых пунктов должно быть 'not found' или 'not infected'.

Можно автоматизировать проверку через cron, а результат получать на мыло. Но как пишут знающие люди, после проверки программу желательно удалить, чтобы пробравшийся злоумышленник не подозревал о ее существовании на Вашем компьютере. Здесь выбор за Вами.

rkhunter

Загружаем со страницы разработчкика:

wget http://downloads.rootkit.nl/rkhunter-1.2.7.tar.gz

Распаковываем и устанавливаем:

tar xvfz rkhunter-1.2.7.tar.gz
cd rkhunter
sudo ./installer.sh

Пользователи Debian и Ubuntu могут поставить привычным им способом:

sudo apt-get install rkhunter

После установки нужно запустить следующее:

sudo rkhunter --update

чтобы обновить базу данных руткитов/троянов/червей.
Для проверки системы на наличие или отсутствие этих "товарищей" запускаем:

sudo rkhunter -с

В конце вы должны получить отчет:

---------------------------- Scan results ----------------------------

MD5 scan
Scanned files: 0
Incorrect MD5 checksums: 0

File scan
Scanned files: 342
Possible infected files: 0

Application scan
Vulnerable applications: 0

Scanning took 188 seconds

-----------------------------------------------------------------------

Надеюсь, на Вашем компьютере вы увидите аналогичные нолики.
Автор: на

Комментариев нет:

Отправить комментарий

Подписаться на: Комментарии к сообщению (Atom)