Provjerite imate li na svom sistemu Rootkit s rkhunterom

rkhunter

Prvo što moramo znati je koji je to vrag Rootkit? Odgovor prepuštamo Wikipediji:

Rootkit je program koji omogućava kontinuirani privilegirani pristup računaru, ali aktivno zadržava svoju prisutnost skrivenu od kontrole administratora kvareći normalan rad operativnog sistema ili drugih aplikacija. Pojam dolazi od spajanja engleske riječi "root" što znači root (tradicionalni naziv privilegovanog računa u operativnim sistemima Unix) i engleske riječi "kit" što znači skup alata (u vezi sa softverskim komponentama koje ovo implementiraju program). Izraz "rootkit" ima negativne konotacije jer je povezan sa zlonamjernim softverom.

Drugim riječima, obično je povezan sa zlonamjernim softverom koji skriva sebe i druge programe, procese, datoteke, direktorije, ključeve registra i portove koji uljezu omogućavaju da održi pristup širokom spektru operativnih sistema kao što su GNU / Linux, Solaris ili Microsoft Windows za daljinsko zapovijedanje radnjama ili izvlačenje osjetljivih podataka.

Pa, vrlo lijepa definicija, ali kako se zaštititi? Pa, u ovom postu neću govoriti o tome kako se zaštititi, već o tome kako znati imamo li Rootkit u našem operativnom sistemu. O zaštiti prepuštam kolegu 😀

Prvo što radimo je instaliranje paketa rkhunter. U ostatku distribucija pretpostavljam da znate kako se to radi u Debian:

$ sudo aptitude install rkhunter

Ažuriraj

U datoteci / etc / default / rkhunter Definisano je da se ažuriranje baze podataka vrši svake sedmice i da se vrši verifikacija rootkits je svakodnevno i da se rezultati e-poštom šalju administratoru sistema (korijen).

Međutim, ako želimo biti sigurni, možemo ažurirati bazu podataka sljedećom naredbom:

root@server:~# rkhunter --propupd

Kako se koristi?

Da bismo provjerili je li naš sistem bez tih "grešaka", jednostavno izvršimo:

$ sudo rkhunter --check

Aplikacija će započeti s nizom provjera i odmah će zatražiti da pritisnemo tipku ENTER za nastavak. Svi se rezultati mogu pregledati u datoteci /var/log/rkhunter.log

Vraća mi nešto Volim ovo.


Sadržaj članka pridržava se naših principa urednička etika. Da biste prijavili grešku, kliknite ovdje.

14 komentara, ostavi svoj

Ostavite komentar

Vaša e-mail adresa neće biti objavljena. Obavezna polja su označena sa *

*

*

  1. Za podatke odgovoran: Miguel Ángel Gatón
  2. Svrha podataka: Kontrola neželjene pošte, upravljanje komentarima.
  3. Legitimacija: Vaš pristanak
  4. Komunikacija podataka: Podaci se neće dostavljati trećim stranama, osim po zakonskoj obavezi.
  5. Pohrana podataka: Baza podataka koju hostuje Occentus Networks (EU)
  6. Prava: U bilo kojem trenutku možete ograničiti, oporaviti i izbrisati svoje podatke.

  1.   Guillermo rekao je

    A ako se pronađu "Upozorenja", kako se uklanjaju? =)

    1.    Isuse Ballesteros rekao je

      U datoteci /var/log/rkhunter.log daju vam objašnjenje zašto se upozorenje u velikoj većini slučajeva može zanemariti.

      Srdačan pozdrav.

      1.    Guillermo rekao je

        Hvala mi dao tako nešto sažetak, gdje sam dobio Upozorenje

        Sažetak provjera sistema
        =====================

        Provjere svojstava datoteke ...
        Provjerenih datoteka: 133
        Datoteke osumnjičenih: 1

        Provjere rootkita ...
        Provjereni rootkiti: 242
        Mogući rootkitovi: 0

        Provjere aplikacija…
        Sve provjere preskočene

        Provjere sistema trajale su: 1 minut i 46 sekundi

        Svi rezultati su zapisani u datoteku dnevnika (/var/log/rkhunter.log)

  2.   Oscar rekao je

    Hvala na savjetu, testiran, nula rezultata RootKit.

  3.   risketo rekao je

    Nemam puno znanja o bashu, ali za svoj luk sam uradio sljedeće etc / cron.dayli / rkhunter

    #! / bin / sh
    RKHUNTER = »/ usr / bin / rkhunter»
    DATUM = »echo -e '\ n #####################` date` ################### ## '»
    DIR = »/ var / log / rkhunter.daily.log»

    $ {DATUM} >> $ {DIR}; $ {RKHUNTER} - ažurirano; $ {RKHUNTER} –cronjob –izvještavanje-samo upozorenja >> $ {DIR}; izvoz DISPLAY =: 0 && notify-send "RKhunter provjeren"

    Ono što radi je da u osnovi ažurira i traži rootkitove i ostavi mi rezultat u datoteci

  4.   nevidljiv15 rekao je

    Testirano, 0 RootKit, hvala na unosu.

  5.   Killer_Queen rekao je

    Sažetak provjera sistema
    =====================

    Provjere svojstava datoteke ...
    Provjerenih datoteka: 131
    Datoteke osumnjičenih: 0

    Provjere rootkita ...
    Provjereni rootkiti: 242
    Mogući rootkitovi: 2
    Imena rootkita: Xzibit Rootkit, Xzibit Rootkit

    Xzibit Rootkit… šta je ovo ??? Moram ga izbrisati. Hvala unaprijed na pomoći. Pozdrav.

    1.    Oscar rekao je

      Pogledajte ovaj link: http://www.esdebian.org/foro/46255/posible-rootkit-xzibit-rootkit
      moguće rješenje vašeg problema.

      1.    Killer_Queen rekao je

        Hvala na vezi, Oscar. U potpunosti je riješio moj problem. Ne mogu vjerovati, greška u mojoj Debian stabilnoj. Apokalipsa dolazi: oP Pozdrav.

  6.   DanielC rekao je

    0 rootkita 😀

    Smiješno mi je što skrivena mapa koju je kreirao java (/etc/.java) izlazi iz upozorenja.
    lol

  7.   Carper rekao je

    Dobar ulaz, hvala.
    Pozdrav.

  8.   Trinaest rekao je

    Zdravo Elav. Dugo nisam ovdje komentirao, iako svaki put kad mogu pročitati neke od članaka.

    Baš danas sam pregledavao sigurnosna pitanja i došao do simpatičnog <.Linux-a

    Trčao sam rkhunter i dobio nekoliko alarma:

    /usr/bin/unhide.rb [Upozorenje]
    Upozorenje: Naredba '/usr/bin/unhide.rb' zamijenjena je skriptom: /usr/bin/unhide.rb: Ruby skripta, ASCII tekst

    Provjera promjena datoteke passwd [Upozorenje]
    Upozorenje: Korisnik 'postfix' dodan je u passwd datoteku.

    Provjera promjena grupnih datoteka [Upozorenje]
    Upozorenje: Grupni 'postfix' dodan je u datoteku grupe.
    Upozorenje: Grupa 'postdrop' dodana je u datoteku grupe.

    Provjera skrivenih datoteka i direktorija [Upozorenje]
    Upozorenje: Pronađen skriveni direktorij: /etc/.java
    Upozorenje: Pronađen skriveni direktorij: /dev/.udev
    Upozorenje: Pronađena skrivena datoteka: /dev/.initramfs: simbolična veza do `/ run / initramfs '
    Upozorenje: Pronađena skrivena datoteka: /usr/bin/android-sdk-linux/extras/android/support/v7/gridlayout/src/.readme: ASCII tekst
    Upozorenje: Pronađena skrivena datoteka: /usr/bin/android-sdk-linux/extras/android/support/v7/gridlayout/.classpath: XML tekst dokumenta
    Upozorenje: Pronađena skrivena datoteka: /usr/bin/android-sdk-linux/extras/android/support/v7/gridlayout/.project: Tekst XML dokumenta

    Kako da ih protumačim i šta da radim da bih riješio ova upozorenja?
    Napomena: Vidim da se posljednji odnosi na sdk-android, koji sam nedavno instalirao za testiranje aplikacije (možemo li ukloniti njegovu rootkit stranu i nastaviti je koristiti ili je bolje učiniti bez nje?).

    Pozdrav i ponavljam svoje čestitke KZKG ^ Gaari, vama i svim ostalim suradnicima (vidim da je tim narastao).

  9.   cmtl22 rekao je

    Izvinite me za instalaciju, ali čim pokrenem ovu naredbu, dobijem ovo

    naredba:
    rkhunter -c

    greška:
    Nevažeća opcija konfiguracije BINDIR: Pronađen je nevažeći direktorij: JAVA_HOME = / usr / lib / jvm / java-7-oracle

    I ništa ne skeniram, ostaje samo ovako i ništa drugo ne mogu učiniti ili kako to riješiti? Hvala ???

  10.   jedi belo rekao je

    zdravo, dobio sam ovaj rezultat, možete li mi pomoći ... hvala

    Provjera mreže ...

    Obavljanje provjera na mrežnim portovima
    Provjeravanje backdoor luka [Nije pronađen]
    Provjera skrivenih priključaka [Preskočeno]

    Obavljanje provjera na mrežnim sučeljima
    Provjera neispravnih sučelja [nije pronađeno]

    Provjera lokalnog domaćina ...

    Izvođenje provjera pokretanja sistema
    Provjera imena lokalnog domaćina [Pronađeno]
    Provjera datoteka za pokretanje sistema [pronađeno]
    Provjera datoteka za pokretanje sistema na zlonamjerni softver [Nije pronađeno]

    Obavljanje provjera grupa i računa
    Provjera datoteke passwd [pronađeno]
    Provjera računa root ekvivalenata (UID 0) [nije pronađen]
    Provjera računa bez lozinke [nije pronađen]
    Provjera promjena datoteke passwd [Upozorenje]
    Provjera promjena grupnih datoteka [Upozorenje]
    Provjera datoteka historija školjke root računa [nije pronađena]

    Izvođenje provjera sistemske datoteke konfiguracije
    Provjera SSH konfiguracijske datoteke [Nije pronađeno]
    Provjera pokretanja syslog demona [pronađeno]
    Provjera konfiguracijske datoteke syslog [pronađeno]
    Provjera je li dozvoljeno daljinsko zapisivanje syslog-a [Nije dozvoljeno]

    Izvođenje provjera sistema datoteka
    Provjera / razvijanje sumnjivih vrsta datoteka [Upozorenje]
    Provjera skrivenih datoteka i direktorija [Upozorenje]