Ensimmäinen asia, joka meidän on tiedettävä, on mikä helvetti on Rootkit? Joten jätämme vastauksen Wikipediaan:
Rootkit on ohjelma, joka sallii jatkuvan etuoikeutetun pääsyn tietokoneeseen, mutta pitää aktiivisesti sen läsnäolon piilossa järjestelmänvalvojien valvonnan alalta vioittamalla käyttöjärjestelmän tai muiden sovellusten normaalia toimintaa. Termi tulee englanninkielisen sanan "root", joka tarkoittaa juurta (perinteisen etuoikeutetun tilin nimi Unix-käyttöjärjestelmissä) ketjutuksesta ja englanninkielisestä sanasta "kit", joka tarkoittaa työkalusarjaa (viitaten ohjelmistokomponentteihin, jotka toteuttavat Tämä ohjelma). Termillä "rootkit" on negatiivinen merkitys, koska se liittyy haittaohjelmaan.
Toisin sanoen, se liittyy yleensä haittaohjelmaan, joka piilottaa itsensä ja muut ohjelmat, prosessit, tiedostot, hakemistot, rekisteriavaimet ja portit, joiden avulla tunkeilija voi ylläpitää pääsyä monenlaisiin käyttöjärjestelmiin, kuten GNU / Linux, Solaris tai Microsoft Windows komentamaan toimintoja etänä tai poimia arkaluontoisia tietoja.
No, erittäin mukava määritelmä, mutta miten voin suojata itseäni? No, tässä viestissä en puhu siitä, kuinka suojella itseämme, vaan siitä, kuinka tietää, onko meillä käyttöjärjestelmässä Rootkit. Jätän sen kollegalleni suojaamisesta 😀
Ensimmäinen asia, jonka teemme, on asentaa paketti rkhunter. Luulen, että muissa jakeluissa tiedät miten se tehdään Debian:
$ sudo aptitude install rkhunter
päivitys
Tiedostossa / etc / default / rkhunter On määritelty, että tietokannan päivitykset ovat viikoittaisia, että tarkistaminen rootkitit on päivittäin ja että tulokset lähetetään sähköpostitse järjestelmänvalvojalle (juuri).
Jos kuitenkin haluamme varmistaa, voimme päivittää tietokannan seuraavalla komennolla:
root@server:~# rkhunter --propupd
Kuinka käyttää sitä?
Tarkistamme, että järjestelmässämme ei ole näitä "vikoja", yksinkertaisesti suorittamalla:
$ sudo rkhunter --check
Sovellus alkaa suorittaa useita tarkastuksia ja aikanaan pyytää meitä jatkamaan painamalla ENTER-näppäintä. Kaikkia tuloksia voi tarkastella tiedostossa /var/log/rkhunter.log
Se antaa minulle jotain takaisin kuten tämä.
Ja jos "varoituksia" löytyy, miten ne eliminoidaan? =)
Tiedostossa /var/log/rkhunter.log he antavat sinulle selvityksen siitä, miksi varoitus voidaan jättää huomiotta.
Parhain terveisin.
Kiitos antoi minulle yhteenvedon jotain tällaista, mistä Varoitus tuli
Järjestelmä tarkistaa yhteenvedon
=====================
Tiedoston ominaisuuksien tarkistus ...
Tarkistetut tiedostot: 133
Epäillyt tiedostot: 1
Rootkit-tarkistukset ...
Tarkistetut juuripaketit: 242
Mahdolliset juuripaketit: 0
Sovellusten tarkastukset…
Kaikki sekit ohitettiin
Järjestelmän tarkastukset kesti 1 minuutti ja 46 sekuntia
Kaikki tulokset on kirjoitettu lokitiedostoon (/var/log/rkhunter.log)
Kiitos kärjestä, testatusta, nollatuloksesta RootKit.
Minulla ei ole paljon tietoa bashista, mutta kaarelleni tein seuraavan jne. / Cron.dayli / rkhunter
#! / Bin / sh
RKHUNTER = »/ usr / bin / rkhunter»
PÄIVÄYS = »kaiku-e '\ n ######################` päivämäärä` #################### ## '»
DIR = »/ var / log / rkhunter.daily.log»
$ {DATE} >> $ {DIR}; $ {RKHUNTER} - päivitys; $ {RKHUNTER} –cronjob –raportti-varoitukset-vain >> $ {DIR}; export DISPLAY =: 0 && ilmoita-lähetä "RKhunter valittu"
Mitä se tekee, on päivittää ja tarkistaa rootkitit periaatteessa ja jättää tulos tiedostoon
Testattu, 0 RootKit, kiitos panoksesta.
Järjestelmä tarkistaa yhteenvedon
=====================
Tiedoston ominaisuuksien tarkistus ...
Tarkistetut tiedostot: 131
Epäillyt tiedostot: 0
Rootkit-tarkistukset ...
Tarkistetut juuripaketit: 242
Mahdolliset juuripaketit: 2
Rootkit-nimet: Xzibit Rootkit, Xzibit Rootkit
Xzibit Rootkit ... mikä tämä on ??? Minun täytyy poistaa se. Kiitos etukäteen avusta. Terveisiä.
Katso tätä linkkiä: http://www.esdebian.org/foro/46255/posible-rootkit-xzibit-rootkit
mahdollisesti ratkaisu ongelmasi.
Kiitos linkistä, Oscar. Se ratkaisi ongelmani kokonaan. En voi uskoa sitä, vika Debianin tallissa. Maailmanloppu on tulossa: oP Greetings.
0 juuripakettia 😀
Minusta on hauskaa, että Java: n (/etc/.java) luoma piilotettu kansio tulee varoituksesta.
lol
Hyvä panos, kiitos.
Tervehdys.
Hei Elav. En ole kommentoinut täällä pitkään aikaan, vaikka voin joka kerta lukea joitain artikkeleita.
Juuri tänään tarkastelin turvallisuuskysymyksiä ja päädyin ihastuttavaan <.Linuxiin
Juoksin rkhunteria ja sain hälytyksiä:
/usr/bin/unhide.rb [Varoitus]
Varoitus: Komento '/usr/bin/unhide.rb' on korvattu komentosarjalla: /usr/bin/unhide.rb: Ruby-komentosarja, ASCII-teksti
Passwd-tiedostomuutosten tarkistaminen [Varoitus]
Varoitus: Käyttäjä 'postfix' on lisätty passwd-tiedostoon.
Ryhmätiedostomuutosten tarkistaminen [Varoitus]
Varoitus: Ryhmän postfix-tiedosto on lisätty ryhmätiedostoon.
Varoitus: Ryhmän postdrop on lisätty ryhmätiedostoon.
Piilotettujen tiedostojen ja hakemistojen tarkistus [Varoitus]
Varoitus: Piilotettu hakemisto löytyi: /etc/.java
Varoitus: Piilotettu hakemisto löytyi: /dev/.udev
Varoitus: Piilotettu tiedosto löytyi: /dev/.initramfs: symbolinen linkki tiedostoon `/ run / initramfs '
Varoitus: Piilotettu tiedosto löytyi: /usr/bin/android-sdk-linux/extras/android/support/v7/gridlayout/src/.readme: ASCII-teksti
Varoitus: Piilotettu tiedosto löytyi: /usr/bin/android-sdk-linux/extras/android/support/v7/gridlayout/.classpath: XML-dokumenttiteksti
Varoitus: Piilotettu tiedosto löytyi: /usr/bin/android-sdk-linux/extras/android/support/v7/gridlayout/.project: XML-dokumenttiteksti
Kuinka minun pitäisi tulkita ne ja mitä minun pitäisi tehdä ratkaistakseni nämä varoitukset?
Huomaa: Viimeinen liittyy ohjelmistoon sdk-android, jonka asennin äskettäin sovelluksen testaamiseen (voimmeko poistaa sen rootkit-puolen ja jatkaa sen käyttöä vai onko parempi tehdä ilman sitä?).
Tervehdys ja toistan onnitteluni KZKG ^ Gaaralle, sinulle ja kaikille muille yhteistyökumppaneille (näen, että joukkue on kasvanut).
Anteeksi, että asennan, mutta tällä hetkellä, kun suoritan tämän komennon, saan tämän
komento:
rkhunter -c
virhe:
Virheellinen BINDIR-määritysvaihtoehto: Virheellinen hakemisto löytyi: JAVA_HOME = / usr / lib / jvm / java-7-oracle
Enkä skannaa mitään, se vain pysyy tällä tavalla eikä mitään muuta, mitä voin tehdä tai miten voin ratkaista sen? Kiitos ???
hei, sain tämän tuloksen, voitko auttaa minua ... kiitos
Tarkistetaan verkkoa ...
Tarkistetaan verkkoportteja
Takaoven porttien tarkistus [ei löydy]
Piilotettujen porttien tarkistus [ohitettu]
Tarkistusten suorittaminen verkkoliitännöille
Tarkistetaan mahdolliset rajapinnat [ei löydy]
Tarkistetaan paikallista isäntää ...
Suoritetaan järjestelmän käynnistystarkistuksia
Paikallisen isäntänimen tarkistus [Löydetty]
Järjestelmän käynnistystiedostojen tarkistus [Löydetty]
Järjestelmän käynnistystiedostojen tarkistus haittaohjelmien varalta [Ei löydy]
Ryhmä- ja tilitarkastusten suorittaminen
Tarkistetaan passwd-tiedosto [Löydetty]
Tarkistetaan root-vastaavia (UID 0) tilejä [ei löydy]
Salasanattomien tilien tarkistus [ei löydy]
Passwd-tiedostomuutosten tarkistaminen [Varoitus]
Ryhmätiedostomuutosten tarkistaminen [Varoitus]
Tarkistetaan juuritilin kuorihistoriatiedostoja [ei löydy]
Suoritetaan järjestelmän kokoonpanotiedostotarkistuksia
Tarkistetaan SSH-määritystiedosto [ei löydy]
Tarkistetaan käynnissä olevaa syslog-palvelua [löydetty]
Tarkistetaan syslog-määritystiedosto [Löydetty]
Tarkistetaan, onko syslog-etäkirjaus sallittu [Ei sallittu]
Suoritetaan tiedostojärjestelmän tarkastuksia
Tarkistetaan / dev epäilyttävien tiedostotyyppien varalta [Varoitus]
Piilotettujen tiedostojen ja hakemistojen tarkistus [Varoitus]