Det første vi trenger å vite er hva pokker er et Rootkit? Så vi overlater svaret til Wikipedia:
Et rootkit er et program som gir kontinuerlig privilegert tilgang til en datamaskin, men aktivt holder sin tilstedeværelse skjult fra administratørens kontroll ved å ødelegge operativsystemets eller andre applikasjoners normale funksjon. Begrepet kommer fra en sammenkobling av det engelske ordet "root" som betyr root (tradisjonelt navn på den privilegerte kontoen i Unix-operativsystemer) og fra det engelske ordet "kit" som betyr sett med verktøy (med referanse til programvarekomponentene som implementerer dette programmet). Begrepet "rootkit" har negative konnotasjoner ettersom det er assosiert med skadelig programvare.
Med andre ord er det vanligvis assosiert med skadelig programvare, som skjuler seg selv og andre programmer, prosesser, filer, kataloger, registernøkler og porter som tillater inntrengeren å opprettholde tilgang til et bredt utvalg av operativsystemer som GNU / Linux, Solaris eller Microsoft Windows for å fjernstyre handlinger eller trekke ut sensitiv informasjon.
Vel, en veldig fin definisjon, men hvordan beskytter jeg meg? Vel, i dette innlegget vil jeg ikke snakke om hvordan vi kan beskytte oss selv, men om hvordan vi skal vite om vi har et Rootkit i operativsystemet vårt. Jeg overlater det til min kollega om beskyttelse 😀
Det første vi gjør er å installere pakken rkhunter. I resten av distribusjonene antar jeg at du vet hvordan du gjør det, i Debian:
$ sudo aptitude install rkhunter
Oppdater
I filen / etc / default / rkhunter Det er definert at databaseoppdateringene er ukentlige, at verifiseringen av rootkits er daglig og at resultatene sendes via e-post til systemadministratoren (root).
Men hvis vi vil være sikre, kan vi oppdatere databasen med følgende kommando:
root@server:~# rkhunter --propupd
Hvordan bruke det?
For å kontrollere at systemet vårt er fritt for disse "feilene", utfører vi ganske enkelt:
$ sudo rkhunter --check
Søknaden vil begynne å utføre en rekke kontroller, og etter hvert vil den be oss om å trykke ENTER-tasten for å fortsette. Alle resultatene kan konsulteres i filen /var/log/rkhunter.log
Det gir meg noe tilbake som dette.
14 kommentarer, legg igjen dine
Og hvis "advarsler" blir funnet, hvordan blir de eliminert? =)
I filen /var/log/rkhunter.log gir de deg en forklaring på hvorfor advarselen i de aller fleste tilfeller kan ignoreres.
Med vennlig hilsen.
Takk ga meg et sammendrag noe som dette, hvor advarselen kom
System sjekker sammendrag
=====================
Kontroller filegenskaper ...
Filer sjekket: 133
Mistenkte filer: 1
Rootkit sjekker ...
Rootkits sjekket: 242
Mulige rootkits: 0
Søknader sjekker ...
Alle sjekker hoppet over
Systemkontrollene tok: 1 minutt og 46 sekunder
Alle resultatene er skrevet til loggfilen (/var/log/rkhunter.log)
Takk for tipset, testet, null resultat RootKit.
Jeg har ikke mye kunnskap om bash, men for buen min gjorde jeg følgende etc / cron.dayli / rkhunter
# / Bin / sh
RKHUNTER = »/ usr / bin / rkhunter»
DATO = »echo -e '\ n #######################` `dato' '########################## ## '»
DIR = »/ var / log / rkhunter.daily.log»
$ {DATE} >> $ {DIR}; $ {RKHUNTER} –oppdatering; $ {RKHUNTER} –cronjob – kun rapporter-advarsler >> $ {DIR}; eksport DISPLAY =: 0 && varsle-send "RKhunter sjekket"
Hva det gjør er å oppdatere og se etter rootkits i utgangspunktet og la meg få resultatet i en fil
Testet, 0 RootKit, takk for innspillet.
System sjekker sammendrag
=====================
Kontroller filegenskaper ...
Filer sjekket: 131
Mistenkte filer: 0
Rootkit sjekker ...
Rootkits sjekket: 242
Mulige rootkits: 2
Rootkit navn: Xzibit Rootkit, Xzibit Rootkit
Xzibit Rootkit ... hva er dette ??? Jeg må slette den. På forhånd takk for hjelpen. Hilsen.
Se på denne lenken: http://www.esdebian.org/foro/46255/posible-rootkit-xzibit-rootkit
muligens løsningen på problemet ditt.
Takk for lenken, Oscar. Det løste problemet mitt fullstendig. Jeg kan ikke tro det, en feil i Debian-stallen min. Apokalypsen kommer: oP Hilsen.
0 rootkits 😀
Jeg synes det er morsomt at en skjult mappe opprettet av java (/etc/.java) kommer ut av advarsel.
lol
Gode innspill, takk.
Hilsener.
Hei Elav. Jeg har ikke kommentert her på lenge, selv om jeg hver gang jeg kan lese noen av artiklene.
Akkurat i dag gjennomgikk jeg sikkerhetsproblemer, og jeg kom til den kjærlige <.Linux
Jeg løp rkhunter og fikk noen alarmer:
/usr/bin/unhide.rb [Advarsel]
Advarsel: Kommandoen '/usr/bin/unhide.rb' er erstattet av et skript: /usr/bin/unhide.rb: Ruby script, ASCII text
Sjekker for passwd-filendringer [Advarsel]
Advarsel: Brukerens 'postfix' er lagt til passwd-filen.
Ser etter gruppefilendringer [Advarsel]
Advarsel: Gruppe 'postfix' er lagt til i gruppefilen.
Advarsel: Gruppe 'postdrop' er lagt til i gruppefilen.
Ser etter skjulte filer og kataloger [Advarsel]
Advarsel: Skjult katalog funnet: /etc/.java
Advarsel: Skjult katalog funnet: /dev/.udev
Advarsel: Skjult fil funnet: /dev/.initramfs: symbolsk lenke til `/ run / initramfs '
Advarsel: Skjult fil funnet: /usr/bin/android-sdk-linux/extras/android/support/v7/gridlayout/src/.readme: ASCII text
Advarsel: Skjult fil funnet: /usr/bin/android-sdk-linux/extras/android/support/v7/gridlayout/.classpath: XML-dokumenttekst
Advarsel: Skjult fil funnet: /usr/bin/android-sdk-linux/extras/android/support/v7/gridlayout/.project: XML-dokumenttekst
Hvordan skal jeg tolke dem, og hva skal jeg gjøre for å løse disse advarslene?
Merk: Jeg ser at den siste har å gjøre med sdk-android, som jeg nylig installerte for å teste et program (kan vi fjerne rootkitsiden og fortsette å bruke den, eller er det bedre å gjøre uten den?).
Hilsen og jeg gjentar gratulasjonene mine til KZKG ^ Gaara, deg og alle de andre samarbeidspartnerne (jeg ser at teamet har vokst).
Beklager å installere, men i det øyeblikket jeg kjører denne kommandoen får jeg dette
kommando:
rkhunter -c
feil:
Ugyldig BINDIR-konfigurasjonsalternativ: Ugyldig katalog funnet: JAVA_HOME = / usr / lib / jvm / java-7-oracle
Og jeg skanner ikke noe, det blir bare slik og ingenting annet jeg kan gjøre, eller hvordan løser jeg det? Takk ???
hei jeg fikk dette resultatet, kan du hjelpe meg ... takk
Kontrollerer nettverket ...
Utføre kontroller på nettverksportene
Søker etter bakdørsporter [Ingen funnet]
Ser etter skjulte porter [hoppet over]
Utføre kontroller på nettverksgrensesnittene
Ser etter promiskuøse grensesnitt [Ingen funnet]
Kontrollerer den lokale verten ...
Utføre systemstartkontroller
Ser etter lokalt vertsnavn [Fant]
Søker etter systemstartfiler [Fant]
Sjekker systemstartfiler for skadelig programvare [Ingen funnet]
Utfører gruppe- og kontokontroller
Ser etter passwd-fil [Fant]
Sjekker for root-ekvivalente (UID 0) -kontoer [Ingen funnet]
Søker etter passordløse kontoer [Ingen funnet]
Sjekker for passwd-filendringer [Advarsel]
Ser etter gruppefilendringer [Advarsel]
Sjekker rotkontohistorikkfiler [Ingen funnet]
Utføre systemkonfigurasjonsfilkontroller
Ser etter SSH-konfigurasjonsfil [Ikke funnet]
Sjekker om syslog-demon kjører [Fant]
Ser etter syslog-konfigurasjonsfil [Fant]
Kontrollerer om syslog ekstern logging er tillatt [Ikke tillatt]
Utføre filsystemkontroller
Sjekker / dev for mistenkelige filtyper [Advarsel]
Ser etter skjulte filer og kataloger [Advarsel]