Kontrolu ĉu vi havas Rootkit en via sistemo kun rkhunter

rkhunter

La unua afero, kiun ni devas scii, estas kio diable estas Rootkit? Do ni lasas la respondon al Vikipedio:

Radikaro estas programo, kiu permesas kontinuan privilegian aliron al komputilo sed aktive tenas sian ĉeeston kaŝita de la kontrolo de administrantoj per koruptado de la normala funkciado de la operaciumo aŭ aliaj aplikoj. La termino devenas de interligo de la angla vorto "root" kiu signifas radikon (tradicia nomo de la privilegia konto en operaciumoj Unikso) kaj de la angla vorto "kit" kiu signifas aron de iloj (rilate al la programaj komponantoj, kiuj efektivigas ĉi tiu programo). La termino "rootkit" havas negativajn implicojn, ĉar ĝi estas asociita kun malware.

Alivorte, ĝi kutime asociiĝas kun malware, kiu kaŝas sin kaj aliajn programojn, procezojn, dosierojn, adresarojn, registrajn ŝlosilojn kaj havenojn, kiuj permesas al la entrudulo konservi aliron al plej diversaj operaciumoj kiel GNU / Linukso, Solaris. aŭ Vindozo por malproksime komandi agojn aŭ ĉerpi sentemajn informojn.

Nu, tre bela difino, sed kiel mi protektas min? Nu, en ĉi tiu afiŝo mi ne parolos pri kiel protekti nin, sed pri kiel scii ĉu ni havas Rootkit en nia Operaciumo. La protektan aferon mi lasas al mia kolego 😀

La unua afero, kiun ni faras, estas instali la pakon rkhunter. En la resto de la distribuoj mi supozas, ke vi scias kiel fari ĝin, en Debian:

$ sudo aptitude install rkhunter

.Isdatigo

En la Dosiero / etc / default / rkhunter Oni difinas, ke la datumbazaj ĝisdatigoj estas ĉiusemajne, ke la konfirmo de radikilaroj estas ĉiutaga kaj ke la rezultoj estas senditaj per retpoŝto al la sistema administranto (radikon).

Tamen, se ni volas certigi, ni povas ĝisdatigi la datumbazon per la jena komando:

root@server:~# rkhunter --propupd

Kiel uzi ĝin?

Por kontroli, ke nia sistemo estas libera de ĉi tiuj "cimoj", ni simple ekzekutas:

$ sudo rkhunter --check

La aplikaĵo komencos plenumi serion de kontroloj kaj ĝustatempe ĝi petos nin premi la ENTER-klavon por daŭrigi. Ĉiuj rezultoj konsulteblas en la dosiero /var/log/rkhunter.log

Ĝi redonas al mi ion kiel tio.


La enhavo de la artikolo aliĝas al niaj principoj de redakcia etiko. Por raporti eraron alklaku Ĉi tie.

14 komentoj, lasu la viajn

Lasu vian komenton

Via retpoŝta adreso ne estos eldonita. Postulita kampojn estas markita per *

*

*

  1. Respondeculo pri la datumoj: Miguel Ángel Gatón
  2. Celo de la datumoj: Kontrola SPAM, administrado de komentoj.
  3. Legitimado: Via konsento
  4. Komunikado de la datumoj: La datumoj ne estos komunikitaj al triaj krom per laŭleĝa devo.
  5. Stokado de datumoj: Datumbazo gastigita de Occentus Networks (EU)
  6. Rajtoj: Iam ajn vi povas limigi, retrovi kaj forigi viajn informojn.

  1.   Vilhelmo diris

    Kaj se "Avertoj" troviĝas, kiel ili estas forigitaj? =)

    1.    Jesuo Ballesteros diris

      En la dosiero /var/log/rkhunter.log ili donas al vi klarigon kial la Averto, en la plej granda parto de kazoj, povas esti ignorata.

      Plej amike.

      1.    Vilhelmo diris

        Dankon donis al mi resumon ion tian, kie mi ricevis la Averton

        Sistemo kontrolas resumon
        =====================

        Kontroloj pri dosieraj ecoj ...
        Dosieroj kontrolitaj: 133
        Suspektindaj dosieroj: 1

        Rootkit-kontroloj ...
        Radikaroj kontrolitaj: 242
        Eblaj radikilaroj: 0

        Aplikoj kontrolas ...
        Ĉiuj ĉekoj saltis

        La sistemaj kontroloj daŭris: 1 minuto kaj 46 sekundoj

        Ĉiuj rezultoj estis skribitaj al la protokola dosiero (/var/log/rkhunter.log)

  2.   oscar diris

    Dankon pro la konsilo, elprovita, nula rezulto RootKit.

  3.   risketo diris

    Mi ne havas multan scion pri bash sed por mia arko mi faris la sekvan ktp / cron.dayli / rkhunter

    #! / bin / sh
    RKHUNTER = »/ usr / bin / rkhunter»
    DATO = »echo -e '\ n #####################` date` #################### ## '»
    DIR = »/ var / log / rkhunter.daily.log»

    $ {DATE} >> $ {DIR}; $ {RKHUNTER} –ĝisdatigo; $ {RKHUNTER} –cronjob –report-warnings-only >> $ {DIR}; eksporti DISPLAY =: 0 && sciigi-sendi "RKhunter kontrolita"

    Kion ĝi faras estas ĝisdatigi kaj serĉi radikojn esence kaj lasi al mi la rezulton en dosiero

  4.   nevidebla15 diris

    Provita, 0 RootKit, dankon pro la enigo.

  5.   Murdinto_Reĝino diris

    Sistemo kontrolas resumon
    =====================

    Kontroloj pri dosieraj ecoj ...
    Dosieroj kontrolitaj: 131
    Suspektindaj dosieroj: 0

    Rootkit-kontroloj ...
    Radikaroj kontrolitaj: 242
    Eblaj radikilaroj: 2
    Rootkit-nomoj: Xzibit Rootkit, Xzibit Rootkit

    Xzibit Rootkit ... kio estas ĉi tio ??? Mi devas forigi ĝin. Antaŭdankon pro la helpo. Salutojn.

    1.    oscar diris

      Rigardu ĉi tiun ligon: http://www.esdebian.org/foro/46255/posible-rootkit-xzibit-rootkit
      eble la solvo al via problemo.

      1.    Murdinto_Reĝino diris

        Dankon pro la ligo, Oskaro. Ĝi solvis mian problemon tute. Mi ne povas kredi ĝin, cimon en mia Debiana Stalo. La apokalipso venas: oP Salutojn.

  6.   DanielC diris

    0 radikaroj 😀

    Mi trovas amuze, ke kaŝita dosierujo kreita de java (/etc/.java) eliras de averto.
    LOL

  7.   ĉarpentisto diris

    Bona eniro, dankon.
    Salutojn.

  8.   Dek tri diris

    Saluton Elav. Mi delonge ne komentis ĉi tie, kvankam ĉiufoje mi povas legi iujn el la artikoloj.

    Ĝuste hodiaŭ mi trarigardis sekurecajn problemojn kaj mi atingis la amindan <.Linux

    Mi prizorgis rkhunter kaj ricevis kelkajn alarmojn:

    /usr/bin/unhide.rb [Averto]
    Averto: La komando '/usr/bin/unhide.rb' estis anstataŭigita per skripto: /usr/bin/unhide.rb: Ruby-skripto, teksto ASCII

    Kontrolante ŝanĝojn de passwd-dosiero [Averto]
    Averto: Uzanto 'postfix' estis aldonita al la passwd-dosiero.

    Serĉante grupajn dosierajn ŝanĝojn [Averto]
    Averto: Grupo 'postfix' estis aldonita al la grupa dosiero.
    Averto: Grupo 'postdrop' estis aldonita al la grupa dosiero.

    Serĉante kaŝitajn dosierojn kaj adresarojn [Averto]
    Averto: Kaŝita dosierujo trovita: /etc/.java
    Averto: Kaŝita dosierujo trovita: /dev/.udev
    Averto: Kaŝita dosiero trovita: /dev/.initramfs: simbola ligo al `/ run / initramfs '
    Averto: Trovita kaŝa dosiero: /usr/bin/android-sdk-linux/extras/android/support/v7/gridlayout/src/.readme: ASCII-teksto
    Averto: Kaŝita dosiero trovita: /usr/bin/android-sdk-linux/extras/android/support/v7/gridlayout/.classpath: XML-dokumenta teksto
    Averto: Trovita kaŝa dosiero: /usr/bin/android-sdk-linux/extras/android/support/v7/gridlayout/.project: XML-dokumenta teksto

    Kiel mi interpretu ilin kaj kion mi faru por solvi ĉi tiujn avertojn?
    Noto: Mi vidas, ke la lasta rilatas al sdk-android, kiun mi ĵus instalis por testi aplikaĵon (ĉu ni povas forigi ĝian rootkit-flankon kaj plu uzi ĝin aŭ ĉu estas pli bone malhavi ĝin?)

    Saluton kaj mi ripetas mian gratulon al KZKG ^ Gaara, vi, kaj ĉiuj aliaj kunlaborantoj (mi vidas, ke la teamo kreskis).

  9.   cmtl22 diris

    Pardonu min instali, sed tuj kiam mi lanĉas ĉi tiun komandon, mi ricevas ĉi tion

    komando:
    rkhunter -c

    eraro:
    Malvalida agordo BINDIR: Nevalida dosierujo trovita: JAVA_HOME = / usr / lib / jvm / java-7-oracle

    Kaj mi skanas nenion, ĝi simple restas tiel kaj nenion alian mi povas fari aŭ kiel mi solvas ĝin? Dankon ???

  10.   manĝu blankan diris

    saluton mi ricevis ĉi tiun rezulton, ĉu vi povas helpi min ... dankon

    Kontrolante la reton ...

    Farante kontrolojn pri la retaj havenoj
    Serĉante malantaŭpordajn havenojn [Neniu trovita]
    Kontrolante kaŝitajn havenojn [Saltita]

    Fari kontrolojn pri la retaj interfacoj
    Kontrolante diversajn interfacojn [Neniu trovita]

    Kontrolante la lokan gastiganton ...

    Realigado de sistemaj startaj kontroloj
    Kontrolante lokan gastigantan nomon [Trovita]
    Serĉante sistemajn startajn dosierojn [Trovita]
    Kontrolante sistemajn startajn dosierojn pri malware [Neniu trovita]

    Realigado de grupaj kaj kontaj kontroloj
    Serĉante paswd-dosieron [Trovita]
    Serĉante radikajn ekvivalentajn (UID 0) kontojn [Neniu trovita]
    Serĉante senpasvortajn kontojn [Neniu trovita]
    Kontrolante ŝanĝojn de passwd-dosiero [Averto]
    Serĉante grupajn dosierajn ŝanĝojn [Averto]
    Kontrolante dosierojn pri historio de ŝelaj kontoj de radiko [Neniu trovita]

    Realigado de sistemaj agordaj dosieraj kontroloj
    Kontrolante SSH-agordodosieron [Ne trovita]
    Kontrolante pri rula syslog-demono [Trovita]
    Serĉante syslog-agordan dosieron [Trovita]
    Kontrolo ĉu syslog fora registrado estas permesita [Ne permesita]

    Plenumado de dosiersistemaj kontroloj
    Kontrolante / dev pri suspektindaj dosiertipoj [Averto]
    Serĉante kaŝitajn dosierojn kaj adresarojn [Averto]