Pārbaudiet, vai jūsu sistēmā nav rootkit, izmantojot rkhunter

rkhunter

Pirmā lieta, kas mums jāzina, ir tas, kas ir rootkit? Tāpēc mēs atstājam atbildi Wikipedia:

Rootkit ir programma, kas ļauj nepārtraukti priviliģēti piekļūt datoram, bet aktīvi pasargā tā klātbūtni no administratoru kontroles, sabojājot normālu operētājsistēmas vai citu lietojumprogrammu darbību. Šis termins nāk no saīsinājuma angļu valodā "root", kas nozīmē sakni (privileģētā konta tradicionālais nosaukums Unix operētājsistēmās), un no angļu valodas vārda "kit", kas nozīmē rīku kopu (atsaucoties uz programmatūras komponentiem, kuri ievieš šī programma). Terminam "rootkit" ir negatīva nozīme, jo tas ir saistīts ar ļaunprātīgu programmatūru.

Citiem vārdiem sakot, tas parasti ir saistīts ar ļaunprātīgu programmatūru, kas slēpj sevi un citas programmas, procesus, failus, direktorijus, reģistra atslēgas un porti, kas ļauj iebrucējam saglabāt piekļuvi visdažādākajām operētājsistēmām, piemēram, GNU / Linux, Solaris vai Microsoft Windows, lai attālināti komandētu darbības vai iegūtu konfidenciālu informāciju.

Nu, ļoti jauka definīcija, bet kā es varu sevi pasargāt? Nu, šajā amatā es nerunāšu par to, kā pasargāt sevi, bet gan par to, kā uzzināt, vai mūsu operētājsistēmā ir rootkit. Atstāju to kolēģim par aizsardzību 😀

Vispirms mēs instalējam pakotni rkhunter. Es domāju, ka pārējos sadalījumos jūs zināt, kā to izdarīt Debian:

$ sudo aptitude install rkhunter

Atjaunināt

Failā / etc / default / rkhunter Ir noteikts, ka datubāzes atjauninājumi notiek katru nedēļu, un to pārbauda rootkit ir katru dienu un rezultāti tiek nosūtīti pa e-pastu sistēmas administratoram (sakne).

Tomēr, ja mēs vēlamies pārliecināties, mēs varam atjaunināt datu bāzi ar šādu komandu:

root@server:~# rkhunter --propupd

Kā to izmantot?

Lai pārbaudītu, vai mūsu sistēmā nav šo "kļūdu", mēs vienkārši izpildām:

$ sudo rkhunter --check

Lietojumprogramma sāks veikt virkni pārbaužu, un noteiktā laikā tā lūgs mūs nospiest taustiņu ENTER, lai turpinātu. Visus rezultātus var apskatīt failā /var/log/rkhunter.log

Tas man kaut ko atdod kā šis.


Raksta saturs atbilst mūsu principiem redakcijas ētika. Lai ziņotu par kļūdu, noklikšķiniet uz šeit.

14 komentāri, atstājiet savus

Atstājiet savu komentāru

Jūsu e-pasta adrese netiks publicēta. Obligātie lauki ir atzīmēti ar *

*

*

  1. Atbildīgais par datiem: Migels Ángels Gatóns
  2. Datu mērķis: SPAM kontrole, komentāru pārvaldība.
  3. Legitimācija: jūsu piekrišana
  4. Datu paziņošana: Dati netiks paziņoti trešām personām, izņemot juridiskus pienākumus.
  5. Datu glabāšana: datu bāze, ko mitina Occentus Networks (ES)
  6. Tiesības: jebkurā laikā varat ierobežot, atjaunot un dzēst savu informāciju.

  1.   Rēķins teica

    Un, ja tiek atrasti "Brīdinājumi", kā tos novērst? =)

    1.    Jēzus Balesteross teica

      Failā /var/log/rkhunter.log viņi paskaidro, kāpēc brīdinājumu lielākajā daļā gadījumu var ignorēt.

      Ar laba vēlējumiem.

      1.    Rēķins teica

        Pateicība man deva kopsavilkumu kaut ko līdzīgu, kur es saņēmu brīdinājumu

        Sistēmas pārbaudes kopsavilkums
        =====================

        Faila rekvizītu pārbaudes ...
        Pārbaudītās lietas: 133
        Aizdomīgi faili: 1

        Rootkit pārbaudes ...
        Pārbaudīti sakņu komplekti: 242
        Iespējamie rootkit: 0

        Pieteikumu pārbaudes ...
        Visas pārbaudes tika izlaistas

        Sistēmas pārbaudes ilga: 1 minūte un 46 sekundes

        Visi rezultāti ir ierakstīti žurnāla failā (/var/log/rkhunter.log)

  2.   oscar teica

    Paldies par padomu, pārbaudīts, nulles rezultāts RootKit.

  3.   riskēt teica

    Man nav daudz zināšanu par bash, bet manai arkai es izdarīju sekojošo utt. / Cron.dayli / rkhunter

    # / Bin! / Sh
    RKHUNTER = »/ usr / bin / rkhunter»
    DATE = »atbalss-e '\ n ######################` datums` #################### ## '»
    DIR = »/ var / log / rkhunter.daily.log»

    $ {DATE} >> $ {DIR}; $ {RKHUNTER} - atjauninājums; $ {RKHUNTER} –cronjob –report-warnings-only >> $ {DIR}; eksportēt DISPLAY =: 0 && paziņot-nosūtīt "RKhunter pārbaudīts"

    Tas tiek atjaunināts un pamatā meklēts rootkit un atstājiet man rezultātu failā

  4.   Invisible15 teica

    Pārbaudīts, 0 RootKit, paldies par ieguldījumu.

  5.   Killer_Queen teica

    Sistēmas pārbaudes kopsavilkums
    =====================

    Faila rekvizītu pārbaudes ...
    Pārbaudītās lietas: 131
    Aizdomīgi faili: 0

    Rootkit pārbaudes ...
    Pārbaudīti sakņu komplekti: 242
    Iespējamie rootkit: 2
    Rootkit nosaukumi: Xzibit Rootkit, Xzibit Rootkit

    Xzibit Rootkit ... kas tas ir ??? Man tas ir jāizdzēš. Jau iepriekš pateicos par palīdzību. Sveicieni.

    1.    oscar teica

      Apskatiet šo saiti: http://www.esdebian.org/foro/46255/posible-rootkit-xzibit-rootkit
      iespējams, jūsu problēmas risinājums.

      1.    Killer_Queen teica

        Paldies par saiti, Oskar. Tas pilnībā atrisināja manu problēmu. Es tam neticu, kļūda manā Debian Stable. Tuvojas apokalipse: oP sveicieni.

  6.   Daniels teica

    0 sakņu komplekti 😀

    Man šķiet smieklīgi, ka es brīdinu par java izveidoto slēpto mapi (/etc/.java).
    lol

  7.   Karperis teica

    Labs ieguldījums, paldies.
    Sveicieni.

  8.   Trīspadsmit teica

    Sveiks, Elav. Es šeit ilgu laiku neesmu komentējis, lai gan katru reizi, kad es varu, es izlasīju dažus rakstus.

    Tieši šodien es pārskatīju drošības jautājumus un nonācu līdz mīļotajam <.Linux

    Es skrēju rkhunter un saņēmu dažus trauksmes signālus:

    /usr/bin/unhide.rb [Brīdinājums]
    Brīdinājums: Komanda '/usr/bin/unhide.rb' ir aizstāta ar skriptu: /usr/bin/unhide.rb: Rubīna skripts, ASCII teksts

    Pārbaudīt, vai nav mainīti paroles faili [Brīdinājums]
    Brīdinājums: Passwd failam ir pievienots lietotāja “postfix”.

    Grupas faila izmaiņu pārbaude [Brīdinājums]
    Brīdinājums: Grupas failam ir pievienots grupas “postfix”.
    Brīdinājums: Grupas failam ir pievienota grupas 'postdrop'.

    Slēptu failu un direktoriju pārbaude [Brīdinājums]
    Brīdinājums: Atrasts slēptais direktorijs: /etc/.java
    Brīdinājums: atrasts slēptais direktorijs: /dev/.udev
    Brīdinājums: Atrasts slēptais fails: /dev/.initramfs: simboliska saite uz `/ run / initramfs '
    Brīdinājums: atrasts slēptais fails: /usr/bin/android-sdk-linux/extras/android/support/v7/gridlayout/src/.readme: ASCII teksts
    Brīdinājums: atrasts slēptais fails: /usr/bin/android-sdk-linux/extras/android/support/v7/gridlayout/.classpath: XML dokumenta teksts
    Brīdinājums: atrasts slēptais fails: /usr/bin/android-sdk-linux/extras/android/support/v7/gridlayout/.project: XML dokumenta teksts

    Kā man tos interpretēt un kas man jādara, lai novērstu šos brīdinājumus?
    Piezīme: Es redzu, ka pēdējais ir saistīts ar sdk-android, kuru es nesen instalēju, lai pārbaudītu lietojumprogrammu (vai tā rootkit pusi var noņemt un turpināt izmantot, vai labāk to darīt bez tā?).

    Sveiciens, un es atkārtoju apsveikumus KZKG ^ Gaara, jums un visiem pārējiem līdzstrādniekiem (es redzu, ka komanda ir izaugusi).

  9.   cmtl22 teica

    Atvainojiet, ka instalēju, bet šīs komandas izpildes brīdī es to saņemu

    komanda:
    rkhunter -c

    kļūda:
    Nederīga BINDIR konfigurācijas opcija: atrasta nederīga direktorija: JAVA_HOME = / usr / lib / jvm / java-7-oracle

    Un es neko neskenēju, tas vienkārši paliek tāds un neko citu es nevaru darīt vai kā es to atrisinu? Paldies ???

  10.   ēst baltu teica

    sveiki, es saņēmu šo rezultātu, vai jūs varat man palīdzēt ... paldies

    Notiek tīkla pārbaude ...

    Pārbaudes tīkla ostās
    Pārbauda aizmugures durvju pieslēgvietas [nav atrasts]
    Slēpto ostu pārbaude [izlaista]

    Pārbaudes tīkla saskarnēs
    Pārliecinošu saskarņu pārbaude [nav atrasts]

    Notiek vietējā resursdatora pārbaude ...

    Veicot sistēmas sāknēšanas pārbaudes
    Vietējā resursdatora nosaukuma pārbaude [Atrasts]
    Sistēmas startēšanas failu pārbaude [Atrasts]
    Sistēmas startēšanas failu pārbaude par ļaunprātīgu programmatūru [nav atrasts]

    Grupu un kontu pārbaudes veikšana
    Parole faila pārbaude [Atrasts]
    Sakņu ekvivalenta (UID 0) kontu pārbaude [nav atrasts]
    Pārbauda, ​​vai nav kontu ar paroli [nav atrasts]
    Pārbaudīt, vai nav mainīti paroles faili [Brīdinājums]
    Grupas faila izmaiņu pārbaude [Brīdinājums]
    Saknes konta čaulas vēstures failu pārbaude [nav atrasts]

    Veicot sistēmas konfigurācijas failu pārbaudes
    SSH konfigurācijas faila pārbaude [nav atrasts]
    Pārbauda, ​​vai darbojas syslog dēmons [Atrasts]
    Notiek syslog konfigurācijas faila pārbaude [Atrasts]
    Pārbaude, vai ir atļauta syslog attālā reģistrēšana [nav atļauts]

    Failu sistēmas pārbaudes veikšana
    Pārbauda / dev par aizdomīgiem failu tipiem [Brīdinājums]
    Slēptu failu un direktoriju pārbaude [Brīdinājums]