Prvo što moramo znati je koji je to vrag Rootkit? Odgovor prepuštamo Wikipediji:
Rootkit je program koji omogućuje kontinuirani privilegirani pristup računalu, ali aktivno zadržava svoju prisutnost skrivenu od nadzora administratora oštećujući normalan rad operativnog sustava ili drugih aplikacija. Izraz potječe od spajanja engleske riječi "root" što znači root (tradicionalni naziv privilegiranog računa u operacijskim sustavima Unix) i od engleske riječi "kit" što znači skup alata (u odnosu na softverske komponente koje implementiraju ovaj program). Izraz "rootkit" ima negativne konotacije jer je povezan sa zlonamjernim softverom.
Drugim riječima, obično je povezan sa zlonamjernim softverom, koji skriva sebe i druge programe, procese, datoteke, direktorije, ključeve registra i priključke koji uljezu omogućuju održavanje pristupa širokom spektru operativnih sustava poput GNU / Linux, Solaris ili Microsoft Windows za daljinsko zapovijedanje radnjama ili izvlačenje osjetljivih podataka.
Pa, vrlo lijepa definicija, ali kako se zaštititi? Pa, u ovom postu neću govoriti o tome kako se zaštititi, već o tome kako znati imamo li Rootkit u našem operativnom sustavu. O zaštiti prepuštam kolegu 😀
Prvo što radimo je instaliranje paketa rkhunter. U ostatku distribucija pretpostavljam da znate kako se to radi u Debian:
$ sudo aptitude install rkhunter
ažuriranje
U datoteci / etc / default / rkhunter Definirano je da se ažuriranje baze podataka vrši tjedno, da se provjera vrši rootkita je svakodnevno i da se rezultati šalju e-poštom administratoru sustava (korijen).
Međutim, ako želimo biti sigurni, možemo ažurirati bazu podataka sljedećom naredbom:
root@server:~# rkhunter --propupd
Kako ga koristiti?
Da bismo provjerili je li naš sustav bez tih "grešaka", jednostavno izvršimo:
$ sudo rkhunter --check
Aplikacija će početi provoditi niz provjera i s vremenom će zatražiti da pritisnemo tipku ENTER za nastavak. Svi se rezultati mogu pregledati u datoteci /var/log/rkhunter.log
Vraća mi nešto kao ovo.
A ako se pronađu "Upozorenja", kako se uklanjaju? =)
U datoteci /var/log/rkhunter.log daju vam objašnjenje zašto se upozorenje u velikoj većini slučajeva može zanemariti.
Lijepi Pozdrav.
Hvala mi je dao sažetak tako nešto, gdje sam dobio Upozorenje
Sažetak provjera sustava
=====================
Provjere svojstava datoteke ...
Provjerene datoteke: 133
Osumnjičene datoteke: 1
Provjere rootkita ...
Provjereni rootkiti: 242
Mogući rootkitovi: 0
Provjere aplikacija ...
Sve provjere preskočene
Provjere sustava trajale su: 1 minuta i 46 sekundi
Svi su rezultati zapisani u datoteku dnevnika (/var/log/rkhunter.log)
Hvala na savjetu, testiran, nula rezultata RootKit.
Nemam puno znanja o bashu, ali za svoj sam luk napravio sljedeće etc / cron.dayli / rkhunter
# / Bin / sh
RKHUNTER = »/ usr / bin / rkhunter»
DATUM = »echo -e '\ n #####################` date` #################### ## '»
DIR = »/ var / log / rkhunter.daily.log»
$ {DATUM} >> $ {DIR}; $ {RKHUNTER} - ažurirano; $ {RKHUNTER} –cronjob –izvještaj-upozorenja-samo >> $ {DIR}; izvoz DISPLAY =: 0 && notify-send "RKhunter provjeren"
Ono što čini je da u osnovi ažurira i traži rootkitove, a rezultat mi ostavi u datoteci
Testirano, 0 RootKit, hvala na unosu.
Sažetak provjera sustava
=====================
Provjere svojstava datoteke ...
Provjerene datoteke: 131
Osumnjičene datoteke: 0
Provjere rootkita ...
Provjereni rootkiti: 242
Mogući rootkitovi: 2
Imena rootkita: Xzibit Rootkit, Xzibit Rootkit
Xzibit Rootkit ... što je ovo ??? Moram ga izbrisati. Unaprijed hvala na pomoći. Pozdrav.
Pogledajte ovaj link: http://www.esdebian.org/foro/46255/posible-rootkit-xzibit-rootkit
moguće rješenje vašeg problema.
Hvala na vezi, Oscar. U potpunosti je riješio moj problem. Ne mogu vjerovati, greška u mojoj Debian stabilnoj. Dolazi apokalipsa: oP Pozdrav.
0 rootkita 😀
Smiješno mi je što skrivena mapa koju je kreirao java (/etc/.java) izlazi iz upozorenja.
lol
Dobar ulaz, hvala.
Pozdrav.
Bok Elav. Dugo nisam ovdje komentirao, iako svaki put kad mogu pročitati neke od članaka.
Baš danas sam pregledavao sigurnosna pitanja i došao do simpatičnog <.Linuxa
Trčao sam rkhunter i dobio neke alarme:
/usr/bin/unhide.rb [Upozorenje]
Upozorenje: Naredba '/usr/bin/unhide.rb' zamijenjena je skriptom: /usr/bin/unhide.rb: Ruby skripta, ASCII tekst
Provjera promjena datoteke passwd [Upozorenje]
Upozorenje: Korisnik 'postfix' dodan je u datoteku passwd.
Provjera promjena grupne datoteke [Upozorenje]
Upozorenje: Grupni 'postfix' dodan je u datoteku grupe.
Upozorenje: Grupa 'postdrop' dodana je u datoteku grupe.
Provjera skrivenih datoteka i direktorija [Upozorenje]
Upozorenje: Pronađen skriveni direktorij: /etc/.java
Upozorenje: Pronađen skriveni direktorij: /dev/.udev
Upozorenje: Pronađena skrivena datoteka: /dev/.initramfs: simbolična veza na `/ run / initramfs '
Upozorenje: Pronađena skrivena datoteka: /usr/bin/android-sdk-linux/extras/android/support/v7/gridlayout/src/.readme: ASCII tekst
Upozorenje: Pronađena skrivena datoteka: /usr/bin/android-sdk-linux/extras/android/support/v7/gridlayout/.classpath: XML tekst dokumenta
Upozorenje: Pronađena skrivena datoteka: /usr/bin/android-sdk-linux/extras/android/support/v7/gridlayout/.project: Tekst XML dokumenta
Kako bih ih trebao tumačiti i što bih trebao učiniti da riješim ova upozorenja?
Napomena: Vidim da je posljednji povezan sa sdk-androidom, koji sam nedavno instalirao za testiranje aplikacije (može li se ukloniti njegova rootkit strana i nastaviti koristiti ili je bolje učiniti bez nje?).
Pozdrav i ponavljam svoje čestitke KZKG ^ Gaara, vama i svim ostalim suradnicima (vidim da je tim narastao).
Izvinite me za instalaciju, ali čim pokrenem ovu naredbu, dobijem ovo
naredba:
rklovac -c
pogreška:
Nevažeća opcija konfiguracije BINDIR: Pronađen je nevažeći direktorij: JAVA_HOME = / usr / lib / jvm / java-7-oracle
I ništa ne skeniram, samo ostaje ovako i ništa drugo ne mogu učiniti ili kako to riješiti? Hvala ???
bok, dobio sam ovaj rezultat, možete li mi pomoći ... hvala
Provjera mreže ...
Provođenje provjera mrežnih priključaka
Provjera stražnjih vrata [nije pronađeno]
Provjera skrivenih priključaka [Preskočeno]
Provođenje provjera mrežnih sučelja
Provjera neispravnih sučelja [nije pronađeno]
Provjera lokalnog domaćina ...
Izvođenje provjera pokretanja sustava
Provjera imena lokalnog domaćina [Pronađeno]
Provjera datoteka za pokretanje sustava [Pronađeno]
Provjera datoteka za pokretanje sustava na zlonamjerni softver [Nije pronađeno]
Izvođenje provjera grupa i računa
Provjera datoteke passwd [pronađeno]
Provjera računa root ekvivalenata (UID 0) [nije pronađen]
Provjera računa bez lozinke [Nije pronađeno]
Provjera promjena datoteke passwd [Upozorenje]
Provjera promjena grupne datoteke [Upozorenje]
Provjera datoteka povijesti školjke root računa [Nije pronađeno]
Izvođenje provjera konfiguracijske datoteke sustava
Provjera konfiguracijske datoteke SSH [Nije pronađeno]
Provjera pokretanja syslog demona [pronađeno]
Provjera konfiguracijske datoteke syslog-a [Pronađeno]
Provjera je li dopušteno daljinsko zapisivanje syslog-a [Nije dopušteno]
Izvođenje provjera datotečnog sustava
Provjera / razvijanje sumnjivih vrsta datoteka [Upozorenje]
Provjera skrivenih datoteka i direktorija [Upozorenje]