Provjerite imate li na svom sustavu Rootkit s rkhunterom

rkhunter

Prvo što moramo znati je koji je to vrag Rootkit? Odgovor prepuštamo Wikipediji:

Rootkit je program koji omogućuje kontinuirani privilegirani pristup računalu, ali aktivno zadržava svoju prisutnost skrivenu od nadzora administratora oštećujući normalan rad operativnog sustava ili drugih aplikacija. Izraz potječe od spajanja engleske riječi "root" što znači root (tradicionalni naziv privilegiranog računa u operacijskim sustavima Unix) i od engleske riječi "kit" što znači skup alata (u odnosu na softverske komponente koje implementiraju ovaj program). Izraz "rootkit" ima negativne konotacije jer je povezan sa zlonamjernim softverom.

Drugim riječima, obično je povezan sa zlonamjernim softverom, koji skriva sebe i druge programe, procese, datoteke, direktorije, ključeve registra i priključke koji uljezu omogućuju održavanje pristupa širokom spektru operativnih sustava poput GNU / Linux, Solaris ili Microsoft Windows za daljinsko zapovijedanje radnjama ili izvlačenje osjetljivih podataka.

Pa, vrlo lijepa definicija, ali kako se zaštititi? Pa, u ovom postu neću govoriti o tome kako se zaštititi, već o tome kako znati imamo li Rootkit u našem operativnom sustavu. O zaštiti prepuštam kolegu 😀

Prvo što radimo je instaliranje paketa rkhunter. U ostatku distribucija pretpostavljam da znate kako se to radi u Debian:

$ sudo aptitude install rkhunter

ažuriranje

U datoteci / etc / default / rkhunter Definirano je da se ažuriranje baze podataka vrši tjedno, da se provjera vrši rootkita je svakodnevno i da se rezultati šalju e-poštom administratoru sustava (korijen).

Međutim, ako želimo biti sigurni, možemo ažurirati bazu podataka sljedećom naredbom:

root@server:~# rkhunter --propupd

Kako ga koristiti?

Da bismo provjerili je li naš sustav bez tih "grešaka", jednostavno izvršimo:

$ sudo rkhunter --check

Aplikacija će početi provoditi niz provjera i s vremenom će zatražiti da pritisnemo tipku ENTER za nastavak. Svi se rezultati mogu pregledati u datoteci /var/log/rkhunter.log

Vraća mi nešto kao ovo.


14 komentara, ostavi svoj

Ostavite svoj komentar

Vaša email adresa neće biti objavljen. Obavezna polja su označena s *

*

*

  1. Za podatke odgovoran: Miguel Ángel Gatón
  2. Svrha podataka: Kontrola neželjene pošte, upravljanje komentarima.
  3. Legitimacija: Vaš pristanak
  4. Komunikacija podataka: Podaci se neće dostavljati trećim stranama, osim po zakonskoj obvezi.
  5. Pohrana podataka: Baza podataka koju hostira Occentus Networks (EU)
  6. Prava: U bilo kojem trenutku možete ograničiti, oporaviti i izbrisati svoje podatke.

  1.   Guillermo dijo

    A ako se pronađu "Upozorenja", kako se uklanjaju? =)

    1.    Isuse Ballesteros dijo

      U datoteci /var/log/rkhunter.log daju vam objašnjenje zašto se upozorenje u velikoj većini slučajeva može zanemariti.

      Lijepi Pozdrav.

      1.    Guillermo dijo

        Hvala mi je dao sažetak tako nešto, gdje sam dobio Upozorenje

        Sažetak provjera sustava
        =====================

        Provjere svojstava datoteke ...
        Provjerene datoteke: 133
        Osumnjičene datoteke: 1

        Provjere rootkita ...
        Provjereni rootkiti: 242
        Mogući rootkitovi: 0

        Provjere aplikacija ...
        Sve provjere preskočene

        Provjere sustava trajale su: 1 minuta i 46 sekundi

        Svi su rezultati zapisani u datoteku dnevnika (/var/log/rkhunter.log)

  2.   Oscar dijo

    Hvala na savjetu, testiran, nula rezultata RootKit.

  3.   risketo dijo

    Nemam puno znanja o bashu, ali za svoj sam luk napravio sljedeće etc / cron.dayli / rkhunter

    # / Bin / sh
    RKHUNTER = »/ usr / bin / rkhunter»
    DATUM = »echo -e '\ n #####################` date` #################### ## '»
    DIR = »/ var / log / rkhunter.daily.log»

    $ {DATUM} >> $ {DIR}; $ {RKHUNTER} - ažurirano; $ {RKHUNTER} –cronjob –izvještaj-upozorenja-samo >> $ {DIR}; izvoz DISPLAY =: 0 && notify-send "RKhunter provjeren"

    Ono što čini je da u osnovi ažurira i traži rootkitove, a rezultat mi ostavi u datoteci

  4.   invisible15 dijo

    Testirano, 0 RootKit, hvala na unosu.

  5.   Kralj ubojica dijo

    Sažetak provjera sustava
    =====================

    Provjere svojstava datoteke ...
    Provjerene datoteke: 131
    Osumnjičene datoteke: 0

    Provjere rootkita ...
    Provjereni rootkiti: 242
    Mogući rootkitovi: 2
    Imena rootkita: Xzibit Rootkit, Xzibit Rootkit

    Xzibit Rootkit ... što je ovo ??? Moram ga izbrisati. Unaprijed hvala na pomoći. Pozdrav.

    1.    Oscar dijo

      Pogledajte ovaj link: http://www.esdebian.org/foro/46255/posible-rootkit-xzibit-rootkit
      moguće rješenje vašeg problema.

      1.    Kralj ubojica dijo

        Hvala na vezi, Oscar. U potpunosti je riješio moj problem. Ne mogu vjerovati, greška u mojoj Debian stabilnoj. Dolazi apokalipsa: oP Pozdrav.

  6.   DanielC dijo

    0 rootkita 😀

    Smiješno mi je što skrivena mapa koju je kreirao java (/etc/.java) izlazi iz upozorenja.
    lol

  7.   Zakeralo dijo

    Dobar ulaz, hvala.
    Pozdrav.

  8.   Trinaest dijo

    Bok Elav. Dugo nisam ovdje komentirao, iako svaki put kad mogu pročitati neke od članaka.

    Baš danas sam pregledavao sigurnosna pitanja i došao do simpatičnog <.Linuxa

    Trčao sam rkhunter i dobio neke alarme:

    /usr/bin/unhide.rb [Upozorenje]
    Upozorenje: Naredba '/usr/bin/unhide.rb' zamijenjena je skriptom: /usr/bin/unhide.rb: Ruby skripta, ASCII tekst

    Provjera promjena datoteke passwd [Upozorenje]
    Upozorenje: Korisnik 'postfix' dodan je u datoteku passwd.

    Provjera promjena grupne datoteke [Upozorenje]
    Upozorenje: Grupni 'postfix' dodan je u datoteku grupe.
    Upozorenje: Grupa 'postdrop' dodana je u datoteku grupe.

    Provjera skrivenih datoteka i direktorija [Upozorenje]
    Upozorenje: Pronađen skriveni direktorij: /etc/.java
    Upozorenje: Pronađen skriveni direktorij: /dev/.udev
    Upozorenje: Pronađena skrivena datoteka: /dev/.initramfs: simbolična veza na `/ run / initramfs '
    Upozorenje: Pronađena skrivena datoteka: /usr/bin/android-sdk-linux/extras/android/support/v7/gridlayout/src/.readme: ASCII tekst
    Upozorenje: Pronađena skrivena datoteka: /usr/bin/android-sdk-linux/extras/android/support/v7/gridlayout/.classpath: XML tekst dokumenta
    Upozorenje: Pronađena skrivena datoteka: /usr/bin/android-sdk-linux/extras/android/support/v7/gridlayout/.project: Tekst XML dokumenta

    Kako bih ih trebao tumačiti i što bih trebao učiniti da riješim ova upozorenja?
    Napomena: Vidim da je posljednji povezan sa sdk-androidom, koji sam nedavno instalirao za testiranje aplikacije (može li se ukloniti njegova rootkit strana i nastaviti koristiti ili je bolje učiniti bez nje?).

    Pozdrav i ponavljam svoje čestitke KZKG ^ Gaara, vama i svim ostalim suradnicima (vidim da je tim narastao).

  9.   cmtl22 dijo

    Izvinite me za instalaciju, ali čim pokrenem ovu naredbu, dobijem ovo

    naredba:
    rklovac -c

    pogreška:
    Nevažeća opcija konfiguracije BINDIR: Pronađen je nevažeći direktorij: JAVA_HOME = / usr / lib / jvm / java-7-oracle

    I ništa ne skeniram, samo ostaje ovako i ništa drugo ne mogu učiniti ili kako to riješiti? Hvala ???

  10.   jesti bijelo dijo

    bok, dobio sam ovaj rezultat, možete li mi pomoći ... hvala

    Provjera mreže ...

    Provođenje provjera mrežnih priključaka
    Provjera stražnjih vrata [nije pronađeno]
    Provjera skrivenih priključaka [Preskočeno]

    Provođenje provjera mrežnih sučelja
    Provjera neispravnih sučelja [nije pronađeno]

    Provjera lokalnog domaćina ...

    Izvođenje provjera pokretanja sustava
    Provjera imena lokalnog domaćina [Pronađeno]
    Provjera datoteka za pokretanje sustava [Pronađeno]
    Provjera datoteka za pokretanje sustava na zlonamjerni softver [Nije pronađeno]

    Izvođenje provjera grupa i računa
    Provjera datoteke passwd [pronađeno]
    Provjera računa root ekvivalenata (UID 0) [nije pronađen]
    Provjera računa bez lozinke [Nije pronađeno]
    Provjera promjena datoteke passwd [Upozorenje]
    Provjera promjena grupne datoteke [Upozorenje]
    Provjera datoteka povijesti školjke root računa [Nije pronađeno]

    Izvođenje provjera konfiguracijske datoteke sustava
    Provjera konfiguracijske datoteke SSH [Nije pronađeno]
    Provjera pokretanja syslog demona [pronađeno]
    Provjera konfiguracijske datoteke syslog-a [Pronađeno]
    Provjera je li dopušteno daljinsko zapisivanje syslog-a [Nije dopušteno]

    Izvođenje provjera datotečnog sustava
    Provjera / razvijanje sumnjivih vrsta datoteka [Upozorenje]
    Provjera skrivenih datoteka i direktorija [Upozorenje]