Pirmas dalykas, kurį turime žinoti, yra tai, kas yra „Rootkit“? Taigi atsakymą paliekame Vikipedijoje:
„Rootkit“ yra programa, leidžianti nuolatinę privilegijuotą prieigą prie kompiuterio, tačiau aktyviai sauganti jo buvimą paslėpta nuo administratorių kontrolės, sugadinant įprastą operacinės sistemos ar kitų programų veikimą. Šis terminas kilęs iš angliško žodžio „root“, kuris reiškia šaknis (tradicinis privilegijuotos paskyros pavadinimas „Unix“ operacinėse sistemose), ir iš angliško žodžio „kit“, kuris reiškia įrankių rinkinį (kalbant apie programinės įrangos komponentus, kurie diegia šią programą). Terminas „rootkit“ turi neigiamą atspalvį, nes jis siejamas su kenkėjiška programa.
Kitaip tariant, tai dažniausiai siejama su kenkėjiška programa, kuri slepia save ir kitas programas, procesus, failus, katalogus, registro raktus ir prievadus, kurie leidžia įsibrovėjui išlaikyti prieigą prie įvairiausių operacinių sistemų, tokių kaip GNU / Linux, Solaris arba „Microsoft Windows“ nuotoliniu būdu komanduoti veiksmus ar išskleisti neskelbtiną informaciją.
Na, labai gražus apibrėžimas, bet kaip apsisaugoti? Na, šiame įraše kalbėsiu ne apie tai, kaip apsisaugoti, bet apie tai, kaip sužinoti, ar mūsų operacinėje sistemoje yra „Rootkit“. Aš palieku tai kolegai dėl apsaugos 😀
Pirmas dalykas, kurį mes darome, yra įdiegti paketą medžiotojas. Manau, kad likusiuose paskirstymuose jūs žinote, kaip tai padaryti debian:
$ sudo aptitude install rkhunter
Atnaujinti
Byloje / etc / default / rkhunter Apibrėžta, kad duomenų bazės atnaujinimai atliekami kas savaitę rootkit yra kasdien ir kad rezultatai būtų išsiųsti el. paštu sistemos administratoriui (šaknis).
Tačiau jei norime įsitikinti, galime atnaujinti duomenų bazę naudodami šią komandą:
root@server:~# rkhunter --propupd
Kaip juo naudotis?
Norėdami patikrinti, ar mūsų sistemoje nėra šių „klaidų“, mes tiesiog vykdome:
$ sudo rkhunter --check
Programa pradės atlikti keletą patikrinimų ir tam tikru metu paprašys paspausti klavišą ENTER, kad galėtume tęsti. Su visais rezultatais galima susipažinti faile /var/log/rkhunter.log
Tai man kažką grąžina kaip šitas.
Ir jei bus rasti „Įspėjimai“, kaip jie bus pašalinti? =)
Byloje /var/log/rkhunter.log jie paaiškina, kodėl įspėjimo daugeliu atvejų galima nepaisyti.
Geriausi linkėjimai.
Ačiū man davė santrauką, panašią, kur gavau įspėjimą
Sistemos patikrinimų suvestinė
=====================
Failo ypatybių patikros ...
Tikrintos bylos: 133
Įtariami failai: 1
„Rootkit“ patikrinimai ...
Patikrinti šakniniai rinkiniai: 242
Galimi šakniniai rinkiniai: 0
Paraiškų patikrinimai ...
Visi čekiai praleisti
Sistemos patikrinimai užtruko: 1 minutę ir 46 sekundes
Visi rezultatai buvo įrašyti į žurnalo failą (/var/log/rkhunter.log)
Ačiū už patarimą, patikrintą, nulinio rezultato „RootKit“.
Neturiu daug žinių apie bash, bet savo arkai padariau šiuos veiksmus: etc / cron.dayli / rkhunter
#! / Bin / sh
RKHUNTER = »/ usr / bin / rkhunter»
DATA = »aidas-e '\ n ######################` data` #################### ## '»
DIR = »/ var / log / rkhunter.daily.log»
$ {DATE} >> $ {DIR}; $ {RKHUNTER} - atnaujinimas; $ {RKHUNTER} - kronšteinas - tik ataskaita-įspėjimai >> $ {DIR}; eksportuoti DISPLAY =: 0 && Pranešti-siųsti "RKhunter patikrinta"
Tai yra atnaujinimas ir iš esmės ieškokite rootkitų, o rezultatas man paliekamas faile
Išbandyta, 0 „RootKit“, ačiū už indėlį.
Sistemos patikrinimų suvestinė
=====================
Failo ypatybių patikros ...
Tikrintos bylos: 131
Įtariami failai: 0
„Rootkit“ patikrinimai ...
Patikrinti šakniniai rinkiniai: 242
Galimi šakniniai rinkiniai: 2
„Rootkit“ pavadinimai: „Xzibit Rootkit“, „Xzibit Rootkit“
„Xzibit Rootkit“ ... kas tai yra ??? Turiu jį ištrinti. Iš anksto dėkoju už pagalbą. Pagarbiai.
Pažvelkite į šią nuorodą: http://www.esdebian.org/foro/46255/posible-rootkit-xzibit-rootkit
galbūt jūsų problemos sprendimas.
Ačiū už nuorodą, Oskare. Tai visiškai išsprendė mano problemą. Negaliu patikėti, mano „Debian Stable“ klaida. Artėja apokalipsė: oP sveikinimai.
0 šakninių rinkinių 😀
Man juokinga, kad paslėptas „Java“ sukurtas aplankas (/etc/.java) yra įspėjamas.
lol
Geras indėlis, ačiū.
Sveikinimai.
Sveikas, Elavai. Čia ilgai nekomentavau, nors kiekvieną kartą, kai galiu, galiu perskaityti kai kuriuos straipsnius.
Kaip tik šiandien aš peržiūrėjau saugumo problemas ir patekau į žavų <.Linux
Aš paleidau „rkhunter“ ir gavau aliarmų:
/usr/bin/unhide.rb [Įspėjimas]
Įspėjimas: komanda „/usr/bin/unhide.rb“ buvo pakeista scenarijumi: /usr/bin/unhide.rb: „Ruby“ scenarijus, ASCII tekstas
Tikrinama, ar nėra slaptažodžio failo pakeitimų [Įspėjimas]
Įspėjimas: Vartotojo „postfix“ buvo pridėtas prie slaptažodžio failo.
Grupės failo pakeitimų tikrinimas [Įspėjimas]
Įspėjimas: Grupės „postfix“ buvo pridėta prie grupės failo.
Įspėjimas: Grupės „postdrop“ pridėta prie grupės failo.
Paslėptų failų ir katalogų tikrinimas [Įspėjimas]
Įspėjimas: Rastas paslėptas katalogas: /etc/.java
Įspėjimas: rastas paslėptas katalogas: /dev/.udev
Įspėjimas: rastas paslėptas failas: /dev/.initramfs: simbolinė nuoroda į „/ run / initramfs“
Įspėjimas: rastas paslėptas failas: /usr/bin/android-sdk-linux/extras/android/support/v7/gridlayout/src/.readme: ASCII tekstas
Įspėjimas: rastas paslėptas failas: /usr/bin/android-sdk-linux/extras/android/support/v7/gridlayout/.classpath: XML dokumento tekstas
Įspėjimas: rastas paslėptas failas: /usr/bin/android-sdk-linux/extras/android/support/v7/gridlayout/.project: XML dokumento tekstas
Kaip turėčiau juos interpretuoti ir ką turėčiau daryti, kad pašalinčiau šiuos įspėjimus?
Pastaba: matau, kad paskutinis yra susijęs su „sdk-android“, kurį neseniai įdiegiau norėdamas išbandyti programą (ar jos rootkit pusė gali būti pašalinta ir toliau naudojama, ar geriau apsieiti be jos?).
Sveikinimai ir aš dar kartą sveikinu KZKG ^ Gaara, jus ir visus kitus bendradarbius (matau, kad komanda išaugo).
Atleiskite, kad įdiegiau, bet tą laiką, kai vykdau šią komandą, tai gaunu
komanda:
rkhunter -c
klaida:
Neteisinga BINDIR konfigūracijos parinktis: rastas netinkamas katalogas: JAVA_HOME = / usr / lib / jvm / java-7-oracle
O aš nieko neskenuoju, jis tiesiog lieka toks ir nieko daugiau negaliu padaryti ar kaip tai išspręsti? Ačiū ???
labas, gavau šį rezultatą, gal galite man padėti ... ačiū
Tikrinamas tinklas ...
Tinklo prievadų tikrinimas
Tikrinami užpakaliniai prievadai [nerasta]
Tikrinama, ar nėra paslėptų prievadų [praleista]
Tinklo sąsajų tikrinimas
Tikrinama, ar nėra sąsajų [nerasta]
Tikrinamas vietinis kompiuteris ...
Atliekami sistemos įkrovos patikrinimai
Tikrinamas vietinis pagrindinio kompiuterio vardas [Rasta]
Tikrinamas sistemos paleidimo failai [Rasta]
Sistemos paleisties failų tikrinimas dėl kenkėjiškų programų [nerasta]
Grupės ir sąskaitos tikrinimas
Tikrinamas slaptažodžio failas [Rasta]
Tikrinama, ar nėra šaknies ekvivalento (UID 0) paskyrų [nerasta]
Tikrinama, ar nėra paskyrų be slaptažodžių [Nerasta]
Tikrinama, ar nėra slaptažodžio failo pakeitimų [Įspėjimas]
Grupės failo pakeitimų tikrinimas [Įspėjimas]
Tikrinti šaknies paskyros apvalkalo istorijos failus [nerasta]
Atliekami sistemos konfigūracijos failų patikrinimai
Tikrinama, ar nėra SSH konfigūracijos failo [nerasta]
Tikrinama, ar veikia „syslog“ deemonas [Rasta]
Tikrinamas syslog konfigūracijos failas [Rasta]
Tikrinimas, ar leidžiama nuotoliniu būdu registruoti „syslog“ [neleidžiama]
Atliekant failų sistemos patikrinimus
Tikrinant įtartinų failų tipus / dev [Įspėjimas]
Paslėptų failų ir katalogų tikrinimas [Įspėjimas]