Prvo što moramo znati je koji je to vrag Rootkit? Odgovor prepuštamo Wikipediji:
Rootkit je program koji omogućava kontinuirani privilegirani pristup računaru, ali aktivno zadržava svoju prisutnost skrivenu od kontrole administratora kvareći normalan rad operativnog sistema ili drugih aplikacija. Pojam dolazi od spajanja engleske riječi "root" što znači root (tradicionalni naziv privilegovanog računa u operativnim sistemima Unix) i engleske riječi "kit" što znači skup alata (u vezi sa softverskim komponentama koje ovo implementiraju program). Izraz "rootkit" ima negativne konotacije jer je povezan sa zlonamjernim softverom.
Drugim riječima, obično je povezan sa zlonamjernim softverom koji skriva sebe i druge programe, procese, datoteke, direktorije, ključeve registra i portove koji uljezu omogućavaju da održi pristup širokom spektru operativnih sistema kao što su GNU / Linux, Solaris ili Microsoft Windows za daljinsko zapovijedanje radnjama ili izvlačenje osjetljivih podataka.
Pa, vrlo lijepa definicija, ali kako se zaštititi? Pa, u ovom postu neću govoriti o tome kako se zaštititi, već o tome kako znati imamo li Rootkit u našem operativnom sistemu. O zaštiti prepuštam kolegu 😀
Prvo što radimo je instaliranje paketa rkhunter. U ostatku distribucija pretpostavljam da znate kako se to radi u Debian:
$ sudo aptitude install rkhunter
Ažuriraj
U datoteci / etc / default / rkhunter Definisano je da se ažuriranje baze podataka vrši svake sedmice i da se vrši verifikacija rootkit je svakodnevno i da se rezultati e-poštom šalju administratoru sistema (korijen).
Međutim, ako želimo biti sigurni, možemo ažurirati bazu podataka sljedećom naredbom:
root@server:~# rkhunter --propupd
Kako se koristi?
Da bismo provjerili je li naš sistem bez tih "grešaka", jednostavno izvršimo:
$ sudo rkhunter --check
Aplikacija će započeti s nizom provjera i odmah će zatražiti da pritisnemo tipku ENTER za nastavak. Svi se rezultati mogu pregledati u datoteci /var/log/rkhunter.log
Vraća mi nešto Volim ovo.
A ako se pronađu "Upozorenja", kako se uklanjaju? =)
U datoteci /var/log/rkhunter.log daju vam objašnjenje zašto se upozorenje u velikoj većini slučajeva može zanemariti.
Srdačan pozdrav.
Hvala mi dao tako nešto sažetak, gdje sam dobio Upozorenje
Sažetak provjera sistema
=====================
Provjere svojstava datoteke ...
Provjerenih datoteka: 133
Datoteke osumnjičenih: 1
Provjere rootkita ...
Provjereni rootkiti: 242
Mogući rootkitovi: 0
Provjere aplikacija…
Sve provjere preskočene
Provjere sistema trajale su: 1 minut i 46 sekundi
Svi rezultati su zapisani u datoteku dnevnika (/var/log/rkhunter.log)
Hvala na savjetu, testiran, nula rezultata RootKit.
Nemam puno znanja o bashu, ali za svoj luk sam uradio sljedeće etc / cron.dayli / rkhunter
#! / bin / sh
RKHUNTER = »/ usr / bin / rkhunter»
DATUM = »echo -e '\ n #####################` date` ################### ## '»
DIR = »/ var / log / rkhunter.daily.log»
$ {DATUM} >> $ {DIR}; $ {RKHUNTER} - ažurirano; $ {RKHUNTER} –cronjob –izvještavanje-samo upozorenja >> $ {DIR}; izvoz DISPLAY =: 0 && notify-send "RKhunter provjeren"
Ono što radi je da u osnovi ažurira i traži rootkitove i ostavi mi rezultat u datoteci
Testirano, 0 RootKit, hvala na unosu.
Sažetak provjera sistema
=====================
Provjere svojstava datoteke ...
Provjerenih datoteka: 131
Datoteke osumnjičenih: 0
Provjere rootkita ...
Provjereni rootkiti: 242
Mogući rootkitovi: 2
Imena rootkita: Xzibit Rootkit, Xzibit Rootkit
Xzibit Rootkit… šta je ovo ??? Moram ga izbrisati. Hvala unaprijed na pomoći. Pozdrav.
Pogledajte ovaj link: http://www.esdebian.org/foro/46255/posible-rootkit-xzibit-rootkit
moguće rješenje vašeg problema.
Hvala na vezi, Oscar. U potpunosti je riješio moj problem. Ne mogu vjerovati, greška u mojoj Debian stabilnoj. Apokalipsa dolazi: oP Pozdrav.
0 rootkita 😀
Smiješno mi je što skrivena mapa koju je kreirao java (/etc/.java) izlazi iz upozorenja.
lol
Dobar ulaz, hvala.
Pozdrav.
Zdravo Elav. Dugo nisam ovdje komentirao, iako svaki put kad mogu pročitati neke od članaka.
Baš danas sam pregledavao sigurnosna pitanja i došao do simpatičnog <.Linux-a
Trčao sam rkhunter i dobio nekoliko alarma:
/usr/bin/unhide.rb [Upozorenje]
Upozorenje: Naredba '/usr/bin/unhide.rb' zamijenjena je skriptom: /usr/bin/unhide.rb: Ruby skripta, ASCII tekst
Provjera promjena datoteke passwd [Upozorenje]
Upozorenje: Korisnik 'postfix' dodan je u passwd datoteku.
Provjera promjena grupnih datoteka [Upozorenje]
Upozorenje: Grupni 'postfix' dodan je u datoteku grupe.
Upozorenje: Grupa 'postdrop' dodana je u datoteku grupe.
Provjera skrivenih datoteka i direktorija [Upozorenje]
Upozorenje: Pronađen skriveni direktorij: /etc/.java
Upozorenje: Pronađen skriveni direktorij: /dev/.udev
Upozorenje: Pronađena skrivena datoteka: /dev/.initramfs: simbolična veza do `/ run / initramfs '
Upozorenje: Pronađena skrivena datoteka: /usr/bin/android-sdk-linux/extras/android/support/v7/gridlayout/src/.readme: ASCII tekst
Upozorenje: Pronađena skrivena datoteka: /usr/bin/android-sdk-linux/extras/android/support/v7/gridlayout/.classpath: XML tekst dokumenta
Upozorenje: Pronađena skrivena datoteka: /usr/bin/android-sdk-linux/extras/android/support/v7/gridlayout/.project: Tekst XML dokumenta
Kako da ih protumačim i šta da radim da bih riješio ova upozorenja?
Napomena: Vidim da se posljednji odnosi na sdk-android, koji sam nedavno instalirao za testiranje aplikacije (možemo li ukloniti njegovu rootkit stranu i nastaviti je koristiti ili je bolje učiniti bez nje?).
Pozdrav i ponavljam svoje čestitke KZKG ^ Gaari, vama i svim ostalim suradnicima (vidim da je tim narastao).
Izvinite me za instalaciju, ali čim pokrenem ovu naredbu, dobijem ovo
naredba:
rkhunter -c
greška:
Nevažeća opcija konfiguracije BINDIR: Pronađen je nevažeći direktorij: JAVA_HOME = / usr / lib / jvm / java-7-oracle
I ništa ne skeniram, ostaje samo ovako i ništa drugo ne mogu učiniti ili kako to riješiti? Hvala ???
zdravo, dobio sam ovaj rezultat, možete li mi pomoći ... hvala
Provjera mreže ...
Obavljanje provjera na mrežnim portovima
Provjeravanje backdoor luka [Nije pronađen]
Provjera skrivenih priključaka [Preskočeno]
Obavljanje provjera na mrežnim sučeljima
Provjera neispravnih sučelja [nije pronađeno]
Provjera lokalnog domaćina ...
Izvođenje provjera pokretanja sistema
Provjera imena lokalnog domaćina [Pronađeno]
Provjera datoteka za pokretanje sistema [pronađeno]
Provjera datoteka za pokretanje sistema na zlonamjerni softver [Nije pronađeno]
Obavljanje provjera grupa i računa
Provjera datoteke passwd [pronađeno]
Provjera računa root ekvivalenata (UID 0) [nije pronađen]
Provjera računa bez lozinke [nije pronađen]
Provjera promjena datoteke passwd [Upozorenje]
Provjera promjena grupnih datoteka [Upozorenje]
Provjera datoteka historija školjke root računa [nije pronađena]
Izvođenje provjera sistemske datoteke konfiguracije
Provjera SSH konfiguracijske datoteke [Nije pronađeno]
Provjera pokretanja syslog demona [pronađeno]
Provjera konfiguracijske datoteke syslog [pronađeno]
Provjera je li dozvoljeno daljinsko zapisivanje syslog-a [Nije dozvoljeno]
Izvođenje provjera sistema datoteka
Provjera / razvijanje sumnjivih vrsta datoteka [Upozorenje]
Provjera skrivenih datoteka i direktorija [Upozorenje]