Pirmā lieta, kas mums jāzina, ir tas, kas ir rootkit? Tāpēc mēs atstājam atbildi Wikipedia:
Rootkit ir programma, kas ļauj nepārtraukti priviliģēti piekļūt datoram, bet aktīvi pasargā tā klātbūtni no administratoru kontroles, sabojājot normālu operētājsistēmas vai citu lietojumprogrammu darbību. Šis termins nāk no saīsinājuma angļu valodā "root", kas nozīmē sakni (privileģētā konta tradicionālais nosaukums Unix operētājsistēmās), un no angļu valodas vārda "kit", kas nozīmē rīku kopu (atsaucoties uz programmatūras komponentiem, kuri ievieš šī programma). Terminam "rootkit" ir negatīva nozīme, jo tas ir saistīts ar ļaunprātīgu programmatūru.
Citiem vārdiem sakot, tas parasti ir saistīts ar ļaunprātīgu programmatūru, kas slēpj sevi un citas programmas, procesus, failus, direktorijus, reģistra atslēgas un porti, kas ļauj iebrucējam saglabāt piekļuvi visdažādākajām operētājsistēmām, piemēram, GNU / Linux, Solaris vai Microsoft Windows, lai attālināti komandētu darbības vai iegūtu konfidenciālu informāciju.
Nu, ļoti jauka definīcija, bet kā es varu sevi pasargāt? Nu, šajā amatā es nerunāšu par to, kā pasargāt sevi, bet gan par to, kā uzzināt, vai mūsu operētājsistēmā ir rootkit. Atstāju to kolēģim par aizsardzību 😀
Vispirms mēs instalējam pakotni rkhunter. Es domāju, ka pārējos sadalījumos jūs zināt, kā to izdarīt Debian:
$ sudo aptitude install rkhunter
Atjaunināt
Failā / etc / default / rkhunter Ir noteikts, ka datubāzes atjauninājumi notiek katru nedēļu, un to pārbauda rootkit ir katru dienu un rezultāti tiek nosūtīti pa e-pastu sistēmas administratoram (sakne).
Tomēr, ja mēs vēlamies pārliecināties, mēs varam atjaunināt datu bāzi ar šādu komandu:
root@server:~# rkhunter --propupd
Kā to izmantot?
Lai pārbaudītu, vai mūsu sistēmā nav šo "kļūdu", mēs vienkārši izpildām:
$ sudo rkhunter --check
Lietojumprogramma sāks veikt virkni pārbaužu, un noteiktā laikā tā lūgs mūs nospiest taustiņu ENTER, lai turpinātu. Visus rezultātus var apskatīt failā /var/log/rkhunter.log
Tas man kaut ko atdod kā šis.
Un, ja tiek atrasti "Brīdinājumi", kā tos novērst? =)
Failā /var/log/rkhunter.log viņi paskaidro, kāpēc brīdinājumu lielākajā daļā gadījumu var ignorēt.
Ar laba vēlējumiem.
Pateicība man deva kopsavilkumu kaut ko līdzīgu, kur es saņēmu brīdinājumu
Sistēmas pārbaudes kopsavilkums
======================
Faila rekvizītu pārbaudes ...
Pārbaudītās lietas: 133
Aizdomīgi faili: 1
Rootkit pārbaudes ...
Pārbaudīti sakņu komplekti: 242
Iespējamie rootkit: 0
Pieteikumu pārbaudes ...
Visas pārbaudes tika izlaistas
Sistēmas pārbaudes ilga: 1 minūte un 46 sekundes
Visi rezultāti ir ierakstīti žurnāla failā (/var/log/rkhunter.log)
Paldies par padomu, pārbaudīts, nulles rezultāts RootKit.
Man nav daudz zināšanu par bash, bet manai arkai es izdarīju sekojošo utt. / Cron.dayli / rkhunter
# / Bin! / Sh
RKHUNTER = »/ usr / bin / rkhunter»
DATE = »atbalss-e '\ n ######################` datums` #################### ## '»
DIR = »/ var / log / rkhunter.daily.log»
$ {DATE} >> $ {DIR}; $ {RKHUNTER} - atjauninājums; $ {RKHUNTER} –cronjob –report-warnings-only >> $ {DIR}; eksportēt DISPLAY =: 0 && paziņot-nosūtīt "RKhunter pārbaudīts"
Tas tiek atjaunināts un pamatā meklēts rootkit un atstājiet man rezultātu failā
Pārbaudīts, 0 RootKit, paldies par ieguldījumu.
Sistēmas pārbaudes kopsavilkums
======================
Faila rekvizītu pārbaudes ...
Pārbaudītās lietas: 131
Aizdomīgi faili: 0
Rootkit pārbaudes ...
Pārbaudīti sakņu komplekti: 242
Iespējamie rootkit: 2
Rootkit nosaukumi: Xzibit Rootkit, Xzibit Rootkit
Xzibit Rootkit ... kas tas ir ??? Man tas ir jāizdzēš. Jau iepriekš pateicos par palīdzību. Sveicieni.
Apskatiet šo saiti: http://www.esdebian.org/foro/46255/posible-rootkit-xzibit-rootkit
iespējams, jūsu problēmas risinājums.
Paldies par saiti, Oskar. Tas pilnībā atrisināja manu problēmu. Es tam neticu, kļūda manā Debian Stable. Tuvojas apokalipse: oP sveicieni.
0 sakņu komplekti 😀
Man šķiet smieklīgi, ka es brīdinu par java izveidoto slēpto mapi (/etc/.java).
lol
Labs ieguldījums, paldies.
Sveicieni.
Sveiks, Elav. Es šeit ilgu laiku neesmu komentējis, lai gan katru reizi, kad es varu, es izlasīju dažus rakstus.
Tieši šodien es pārskatīju drošības jautājumus un nonācu līdz mīļotajam <.Linux
Es skrēju rkhunter un saņēmu dažus trauksmes signālus:
/usr/bin/unhide.rb [Brīdinājums]
Brīdinājums: Komanda '/usr/bin/unhide.rb' ir aizstāta ar skriptu: /usr/bin/unhide.rb: Rubīna skripts, ASCII teksts
Pārbaudīt, vai nav mainīti paroles faili [Brīdinājums]
Brīdinājums: Passwd failam ir pievienots lietotāja “postfix”.
Grupas faila izmaiņu pārbaude [Brīdinājums]
Brīdinājums: Grupas failam ir pievienots grupas “postfix”.
Brīdinājums: Grupas failam ir pievienota grupas 'postdrop'.
Slēptu failu un direktoriju pārbaude [Brīdinājums]
Brīdinājums: Atrasts slēptais direktorijs: /etc/.java
Brīdinājums: atrasts slēptais direktorijs: /dev/.udev
Brīdinājums: Atrasts slēptais fails: /dev/.initramfs: simboliska saite uz `/ run / initramfs '
Brīdinājums: atrasts slēptais fails: /usr/bin/android-sdk-linux/extras/android/support/v7/gridlayout/src/.readme: ASCII teksts
Brīdinājums: atrasts slēptais fails: /usr/bin/android-sdk-linux/extras/android/support/v7/gridlayout/.classpath: XML dokumenta teksts
Brīdinājums: atrasts slēptais fails: /usr/bin/android-sdk-linux/extras/android/support/v7/gridlayout/.project: XML dokumenta teksts
Kā man tos interpretēt un kas man jādara, lai novērstu šos brīdinājumus?
Piezīme: Es redzu, ka pēdējais ir saistīts ar sdk-android, kuru es nesen instalēju, lai pārbaudītu lietojumprogrammu (vai tā rootkit pusi var noņemt un turpināt izmantot, vai labāk to darīt bez tā?).
Sveiciens, un es atkārtoju apsveikumus KZKG ^ Gaara, jums un visiem pārējiem līdzstrādniekiem (es redzu, ka komanda ir izaugusi).
Atvainojiet, ka instalēju, bet šīs komandas izpildes brīdī es to saņemu
komanda:
rkhunter -c
kļūda:
Nederīga BINDIR konfigurācijas opcija: atrasta nederīga direktorija: JAVA_HOME = / usr / lib / jvm / java-7-oracle
Un es neko neskenēju, tas vienkārši paliek tāds un neko citu es nevaru darīt vai kā es to atrisinu? Paldies ???
sveiki, es saņēmu šo rezultātu, vai jūs varat man palīdzēt ... paldies
Notiek tīkla pārbaude ...
Pārbaudes tīkla ostās
Pārbauda aizmugures durvju pieslēgvietas [nav atrasts]
Slēpto ostu pārbaude [izlaista]
Pārbaudes tīkla saskarnēs
Pārliecinošu saskarņu pārbaude [nav atrasts]
Notiek vietējā resursdatora pārbaude ...
Veicot sistēmas sāknēšanas pārbaudes
Vietējā resursdatora nosaukuma pārbaude [Atrasts]
Sistēmas startēšanas failu pārbaude [Atrasts]
Sistēmas startēšanas failu pārbaude par ļaunprātīgu programmatūru [nav atrasts]
Grupu un kontu pārbaudes veikšana
Parole faila pārbaude [Atrasts]
Sakņu ekvivalenta (UID 0) kontu pārbaude [nav atrasts]
Pārbauda, vai nav kontu ar paroli [nav atrasts]
Pārbaudīt, vai nav mainīti paroles faili [Brīdinājums]
Grupas faila izmaiņu pārbaude [Brīdinājums]
Saknes konta čaulas vēstures failu pārbaude [nav atrasts]
Veicot sistēmas konfigurācijas failu pārbaudes
SSH konfigurācijas faila pārbaude [nav atrasts]
Pārbauda, vai darbojas syslog dēmons [Atrasts]
Notiek syslog konfigurācijas faila pārbaude [Atrasts]
Pārbaude, vai ir atļauta syslog attālā reģistrēšana [nav atļauts]
Failu sistēmas pārbaudes veikšana
Pārbauda / dev par aizdomīgiem failu tipiem [Brīdinājums]
Slēptu failu un direktoriju pārbaude [Brīdinājums]