Het eerste dat we moeten weten, is wat in hemelsnaam een rootkit is? Dus laten we het antwoord over aan Wikipedia:
Een rootkit is een programma dat continue geprivilegieerde toegang tot een computer mogelijk maakt, maar actief zijn aanwezigheid verborgen houdt voor de controle van beheerders door de normale werking van het besturingssysteem of andere applicaties te verstoren. De term komt van een aaneenschakeling van het Engelse woord 'root', wat root betekent (traditionele naam van het geprivilegieerde account in Unix-besturingssystemen) en van het Engelse woord 'kit', wat een set tools betekent (in verwijzing naar de softwarecomponenten die dit programma). De term "rootkit" heeft een negatieve connotatie omdat deze wordt geassocieerd met malware.
Met andere woorden, het wordt meestal geassocieerd met malware, die zichzelf en andere programma's, processen, bestanden, mappen, registersleutels en poorten verbergt waarmee de indringer toegang kan houden tot een breed scala aan besturingssystemen, zoals GNU / Linux, Solaris of Microsoft Windows om op afstand acties uit te voeren of gevoelige informatie te extraheren.
Nou, een hele mooie definitie, maar hoe bescherm ik mezelf? Welnu, in dit bericht zal ik het niet hebben over hoe we onszelf kunnen beschermen, maar over hoe we kunnen weten of we een rootkit in ons besturingssysteem hebben. Ik laat het over bescherming aan mijn collega over 😀
Het eerste dat we doen, is het pakket installeren rkhunter. In de rest van de distributies veronderstel ik dat je weet hoe je het moet doen, in Debian:
$ sudo aptitude install rkhunter
-update
In het bestand / etc / default / rkhunter Het is gedefinieerd dat de database-updates wekelijks zijn, dat de verificatie van rootkits is dagelijks en dat de resultaten per e-mail naar de systeembeheerder (wortel).
Als we er echter zeker van willen zijn, kunnen we de database bijwerken met het volgende commando:
root@server:~# rkhunter --propupd
Hoe te gebruiken?
Om te controleren of ons systeem vrij is van deze "bugs", voeren we eenvoudig uit:
$ sudo rkhunter --check
De applicatie begint een reeks controles uit te voeren en zal ons te zijner tijd vragen om op ENTER te drukken om verder te gaan. Alle resultaten kunnen worden geraadpleegd in het bestand /var/log/rkhunter.log
Het geeft me iets terug zoals dit.
En als "waarschuwingen" worden gevonden, hoe worden ze dan geëlimineerd? =)
In het bestand /var/log/rkhunter.log geven ze je een uitleg waarom de waarschuwing in de meeste gevallen kan worden genegeerd.
Vriendelijke groeten.
Bedankt gaf me een samenvatting zoals deze, waar ik de waarschuwing kreeg
Systeemcontroles samenvatting
=====================
Controle van bestandseigenschappen ...
Bestanden gecontroleerd: 133
Verdachte bestanden: 1
Rootkit-controles ...
Rootkits gecontroleerd: 242
Mogelijke rootkits: 0
Applicatiecontroles ...
Alle controles zijn overgeslagen
De systeemcontroles duurden: 1 minuut en 46 seconden
Alle resultaten zijn naar het logbestand (/var/log/rkhunter.log) geschreven
Bedankt voor de tip, getest, nul resultaat RootKit.
Ik heb niet veel kennis van bash, maar voor mijn boog deed ik het volgende etc / cron.dayli / rkhunter
#! / Bin / sh
RKHUNTER = »/ usr / bin / rkhunter»
DATE = »echo -e '\ n ####################` date` ################## ## '»
DIR = »/ var / log / rkhunter.daily.log»
$ {DATE} >> $ {DIR}; $ {RKHUNTER} –update; $ {RKHUNTER} –cronjob –alleen-rapport-waarschuwingen >> $ {DIR}; export DISPLAY =: 0 && verwittigen-verzenden "RKhunter aangevinkt"
Wat het doet, is in feite bijwerken en zoeken naar rootkits en het resultaat achterlaten in een bestand
Getest, 0 RootKit, bedankt voor de input.
Systeemcontroles samenvatting
=====================
Controle van bestandseigenschappen ...
Bestanden gecontroleerd: 131
Verdachte bestanden: 0
Rootkit-controles ...
Rootkits gecontroleerd: 242
Mogelijke rootkits: 2
Rootkit-namen: Xzibit Rootkit, Xzibit Rootkit
Xzibit Rootkit ... wat is dit ??? Ik moet het verwijderen. Bij voorbaat dank voor de hulp. Vriendelijke groeten.
Kijk naar deze link: http://www.esdebian.org/foro/46255/posible-rootkit-xzibit-rootkit
mogelijk de oplossing voor uw probleem.
Bedankt voor de link, Oscar. Het loste mijn probleem volledig op. Ik kan het niet geloven, een bug in mijn Debian Stable. De apocalyps komt eraan: oP Groeten.
0 rootkits
Ik vind het grappig dat ik geen waarschuwing krijg voor een verborgen map die is gemaakt door java (/etc/.java).
lol
Goede bijdrage, bedankt.
Groeten.
Hallo Elav. Ik heb hier al lange tijd geen commentaar op gegeven, hoewel ik elke keer een aantal artikelen kan lezen.
Net vandaag was ik beveiligingsproblemen aan het bekijken en kwam ik bij de innemende <.Linux
Ik rende rkhunter en kreeg een aantal alarmen:
/usr/bin/unhide.rb [Waarschuwing]
Waarschuwing: het commando '/usr/bin/unhide.rb' is vervangen door een script: /usr/bin/unhide.rb: Ruby-script, ASCII-tekst
Controleren op wijzigingen in passwd-bestanden [Waarschuwing]
Waarschuwing: gebruiker 'postfix' is toegevoegd aan het passwd-bestand.
Controleren op wijzigingen in groepsbestanden [Waarschuwing]
Waarschuwing: Groep 'postfix' is toegevoegd aan het groepsbestand.
Waarschuwing: groep 'postdrop' is toegevoegd aan het groepsbestand.
Controleren op verborgen bestanden en mappen [Waarschuwing]
Waarschuwing: verborgen map gevonden: /etc/.java
Waarschuwing: verborgen map gevonden: /dev/.udev
Waarschuwing: verborgen bestand gevonden: /dev/.initramfs: symbolische link naar `/ run / initramfs '
Waarschuwing: verborgen bestand gevonden: /usr/bin/android-sdk-linux/extras/android/support/v7/gridlayout/src/.readme: ASCII-tekst
Waarschuwing: verborgen bestand gevonden: /usr/bin/android-sdk-linux/extras/android/support/v7/gridlayout/.classpath: XML-documenttekst
Waarschuwing: verborgen bestand gevonden: /usr/bin/android-sdk-linux/extras/android/support/v7/gridlayout/.project: XML-documenttekst
Hoe moet ik ze interpreteren en wat moet ik doen om deze waarschuwingen op te lossen?
Opmerking: ik zie dat de laatste te maken heeft met sdk-android, dat ik onlangs heb geïnstalleerd om een applicatie te testen (kunnen we de rootkit-kant verwijderen en blijven gebruiken of is het beter om het zonder te doen?).
Gegroet en ik wil KZKG ^ Gaara, u en alle andere medewerkers nogmaals feliciteren (ik zie dat het team is gegroeid).
Excuseer me, maar op het moment dat ik deze opdracht uitvoer, krijg ik dit
opdracht:
rkhunter -c
fout:
Ongeldige BINDIR-configuratieoptie: Ongeldige map gevonden: JAVA_HOME = / usr / lib / jvm / java-7-oracle
En ik scan niets, het blijft gewoon zo en niets anders kan ik doen of hoe los ik het op? Bedankt ???
hallo ik heb dit resultaat, kun je me helpen ... bedankt
Het netwerk controleren ...
Controles uitvoeren op de netwerkpoorten
Controleren op achterdeurpoorten [Geen gevonden]
Controleren op verborgen poorten [overgeslagen]
Controles uitvoeren op de netwerkinterfaces
Controleren op promiscue interfaces [Geen gevonden]
De lokale host controleren ...
Opstartcontroles van het systeem uitvoeren
Controleren op lokale hostnaam [Gevonden]
Controleren op opstartbestanden van het systeem [Gevonden]
Opstartbestanden van het systeem controleren op malware [Geen gevonden]
Groeps- en accountcontroles uitvoeren
Controleren op passwd-bestand [Gevonden]
Controleren op root-equivalent (UID 0) -accounts [Geen gevonden]
Controleren op wachtwoordloze accounts [Geen gevonden]
Controleren op wijzigingen in passwd-bestanden [Waarschuwing]
Controleren op wijzigingen in groepsbestanden [Waarschuwing]
De geschiedenisbestanden van de root-accountshell controleren [Geen gevonden]
Systeemconfiguratiebestandcontroles uitvoeren
Controleren op SSH-configuratiebestand [niet gevonden]
Controleren of de syslog-daemon wordt uitgevoerd [Gevonden]
Controleren op syslog-configuratiebestand [Gevonden]
Controleren of syslog-logboekregistratie op afstand is toegestaan [Niet toegestaan]
Bestandssysteemcontroles uitvoeren
Controleer / dev op verdachte bestandstypen [Waarschuwing]
Controleren op verborgen bestanden en mappen [Waarschuwing]