Първото нещо, което трябва да знаем е какво, по дяволите, е руткит? Затова оставяме отговора на Уикипедия:
Руткитът е програма, която позволява непрекъснат привилегирован достъп до компютър, но активно пази присъствието си скрито от контрола на администраторите, като поврежда нормалната работа на операционната система или други приложения. Терминът идва от обединението на английската дума "root", което означава root (традиционно име на привилегирования акаунт в операционните системи Unix) и английската дума "kit", което означава набор от инструменти (по отношение на софтуерните компоненти, които прилагат това програма). Терминът "руткит" има отрицателни конотации, тъй като е свързан със злонамерен софтуер.
С други думи, обикновено се свързва със злонамерен софтуер, който крие себе си и други програми, процеси, файлове, директории, ключове на системния регистър и портове, които позволяват на нарушителя да поддържа достъп до голямо разнообразие от операционни системи като GNU / Linux, Solaris или Microsoft Windows за отдалечено командване на действия или извличане на чувствителна информация.
Е, много хубаво определение, но как да се предпазя? Е, в този пост няма да говоря за това как да се защитим, а за това как да разберем дали имаме руткит в нашата операционна система. Оставям на колегата си относно защитата 😀
Първото нещо, което правим, е да инсталираме пакета rkhunter. В останалите дистрибуции предполагам, че знаете как да го направите, в Debian:
$ sudo aptitude install rkhunter
актуализация
Във файла / etc / default / rkhunter Определено е, че актуализацията на базата данни е ежеседмична, че проверката на руткитове е ежедневно и че резултатите се изпращат по имейл до системния администратор (корен).
Ако обаче искаме да сме сигурни, можем да актуализираме базата данни със следната команда:
root@server:~# rkhunter --propupd
Как се използва?
За да проверим дали системата ни е свободна от тези „грешки“, ние просто изпълняваме:
$ sudo rkhunter --check
Приложението ще започне да извършва поредица от проверки и незабавно ще поиска да натиснем клавиша ENTER, за да продължим. Всички резултати могат да бъдат разгледани във файла /var/log/rkhunter.log
Връща ми нещо като този.
И ако се намерят „Предупреждения“, как се елиминират? =)
Във файла /var/log/rkhunter.log ви дават обяснение защо Предупреждението в по-голямата част от случаите може да бъде игнорирано.
С Най-Добри Пожелания.
Благодаря ми даде обобщение нещо подобно, където получих предупреждението
Обобщение на системните проверки
=====================
Проверка на свойствата на файла ...
Проверени файлове: 133
Подозрителни файлове: 1
Проверки на руткит ...
Проверени руткити: 242
Възможни руткитове: 0
Проверки на приложения ...
Всички проверки са пропуснати
Проверките на системата отнеха: 1 минута и 46 секунди
Всички резултати са записани в регистрационния файл (/var/log/rkhunter.log)
Благодаря за съвет, тестван, нулев резултат RootKit.
Нямам много познания за bash, но за моята арка направих следното etc / cron.dayli / rkhunter
# / BIN / ш
RKHUNTER = »/ usr / bin / rkhunter»
ДАТА = »echo -e '\ n #####################` date` ################### ## '»
DIR = »/ var / log / rkhunter.daily.log»
$ {DATE} >> $ {DIR}; $ {RKHUNTER} –актуализация; $ {RKHUNTER} –cronjob –report-warnings-only >> $ {DIR}; експортиране DISPLAY =: 0 && известяване-изпращане "RKhunter проверен"
Това, което прави, е да актуализира и да търси руткити основно и да ми остави резултата във файл
Тествано, 0 RootKit, благодаря за входа.
Обобщение на системните проверки
=====================
Проверка на свойствата на файла ...
Проверени файлове: 131
Подозрителни файлове: 0
Проверки на руткит ...
Проверени руткити: 242
Възможни руткитове: 2
Имена на руткит: Xzibit Rootkit, Xzibit Rootkit
Xzibit Rootkit ... какво е това ??? Трябва да го изтрия. Благодаря предварително за помощта. За разбирането.
Вижте тази връзка: http://www.esdebian.org/foro/46255/posible-rootkit-xzibit-rootkit
евентуално решение на проблема ви.
Благодаря за връзката, Оскар. Той реши проблема ми напълно. Не мога да повярвам, грешка в моята конюшня на Debian. Апокалипсисът идва: oP Поздрави.
0 руткита 😀
Смешно ми е, че скрита папка, създадена от java (/etc/.java) излиза от предупреждение.
хаха
Добър вход, благодаря.
Поздрави.
Здравей Елав. Отдавна не съм коментирал тук, въпреки че всеки път, когато мога, мога да прочета някои от статиите.
Точно днес преглеждах проблемите със сигурността и стигнах до милото <.Linux
Пуснах rkhunter и получих няколко аларми:
/usr/bin/unhide.rb [Предупреждение]
Предупреждение: Командата '/usr/bin/unhide.rb' е заменена със скрипт: /usr/bin/unhide.rb: Ruby скрипт, ASCII текст
Проверка за промени във файла passwd [Предупреждение]
Предупреждение: Потребителят 'postfix' е добавен към файла passwd.
Проверка за промени в групови файлове [Предупреждение]
Предупреждение: Към груповия файл е добавена група „postfix“.
Предупреждение: Групата 'postdrop' е добавена към файла на групата.
Проверка за скрити файлове и директории [Предупреждение]
Предупреждение: Намерена скрита директория: /etc/.java
Внимание: Намерена скрита директория: /dev/.udev
Предупреждение: Намерен скрит файл: /dev/.initramfs: символична връзка към `/ run / initramfs '
Предупреждение: Намерен скрит файл: /usr/bin/android-sdk-linux/extras/android/support/v7/gridlayout/src/.readme: ASCII текст
Предупреждение: Намерен скрит файл: /usr/bin/android-sdk-linux/extras/android/support/v7/gridlayout/.classpath: XML текст на документа
Предупреждение: Намерен скрит файл: /usr/bin/android-sdk-linux/extras/android/support/v7/gridlayout/.project: XML текст на документа
Как трябва да ги тълкувам и какво да направя, за да разреша тези предупреждения?
Забележка: Виждам, че последният е свързан със sdk-android, който наскоро инсталирах за тестване на приложение (можем ли да премахнем неговата страна на руткита и да продължим да го използваме или е по-добре да го направим без него?).
Поздрави и повтарям поздравленията си за KZKG ^ Gaara, вас и всички останали сътрудници (виждам, че екипът е нараснал).
Извинете ме за инсталиране, но в момента, в който изпълня тази команда, получавам това
команда:
rkhunter -в
грешка:
Невалидна опция за конфигуриране на BINDIR: Намерена е невалидна директория: JAVA_HOME = / usr / lib / jvm / java-7-oracle
И аз не сканирам нищо, просто остава така и нищо друго не мога да направя или как да го реша? Благодаря ???
здравейте получих този резултат, можете ли да ми помогнете ... благодаря
Проверка на мрежата ...
Извършване на проверки на мрежовите портове
Проверка за задни врати [Няма намерени]
Проверка за скрити портове [Пропуснато]
Извършване на проверки на мрежовите интерфейси
Проверка за смущаващи интерфейси [Няма намерени]
Проверка на локалния хост ...
Извършване на проверки за зареждане на системата
Проверка за име на локален хост [Намерено]
Проверка за стартови файлове на системата [Намерени]
Проверка на системните файлове за стартиране за злонамерен софтуер [Няма намерени]
Извършване на проверки на групи и акаунти
Проверка за файл passwd [Намерен]
Проверка за акаунти с еквивалент на корен (UID 0) [Няма намерени]
Проверка за акаунти без парола [Няма намерени]
Проверка за промени във файла passwd [Предупреждение]
Проверка за промени в групови файлове [Предупреждение]
Проверка на файлове с история на черупката на root акаунта [Няма намерени]
Извършване на проверки на системния конфигурационен файл
Проверка за SSH конфигурационен файл [Не е намерен]
Проверка за стартиращ демон на syslog [Намерен]
Проверка за конфигурационен файл на syslog [Намерен]
Проверка дали е разрешено дистанционно регистриране на syslog [Не е разрешено]
Извършване на проверки на файлова система
Проверка / dev за подозрителни типове файлове [Предупреждение]
Проверка за скрити файлове и директории [Предупреждение]