Pierwszą rzeczą, którą musimy wiedzieć, jest to, czym do cholery jest rootkit? Więc zostawiamy odpowiedź Wikipedii:
Rootkit to program, który umożliwia ciągły uprzywilejowany dostęp do komputera, ale aktywnie ukrywa jego obecność przed kontrolą administratorów, zakłócając normalne działanie systemu operacyjnego lub innych aplikacji. Termin pochodzi od konkatenacji angielskiego słowa „root”, które oznacza root (tradycyjna nazwa konta uprzywilejowanego w systemach operacyjnych Unix) oraz angielskiego słowa „kit”, które oznacza zestaw narzędzi (w odniesieniu do składników oprogramowania którzy wdrażają ten program). Termin „rootkit” ma negatywne konotacje, ponieważ jest powiązany ze złośliwym oprogramowaniem.
Innymi słowy, jest zwykle kojarzony ze złośliwym oprogramowaniem, które ukrywa się i innymi programami, procesami, plikami, katalogami, kluczami rejestru i portami, które pozwalają intruzowi na utrzymanie dostępu do wielu różnych systemów operacyjnych, takich jak GNU / Linux, Solaris lub Microsoft Windows do zdalnego sterowania działaniami lub wyodrębniania poufnych informacji.
Cóż, bardzo ładna definicja, ale jak mam się chronić? Cóż, w tym poście nie będę mówił o tym, jak się chronić, ale jak sprawdzić, czy mamy Rootkita w naszym systemie operacyjnym. O ochronie zostawiam koledze 😀
Pierwszą rzeczą, którą robimy, jest instalacja pakietu rkhunter. Przypuszczam, że w pozostałych dystrybucjach wiesz, jak to zrobić, w Debian:
$ sudo aptitude install rkhunter
aktualizacja
W pliku / etc / default / rkhunter Określa się, że aktualizacje bazy danych odbywają się co tydzień, co jest weryfikowane rootkity jest codzienne, a wyniki są wysyłane e-mailem do administratora systemu (korzeń).
Jeśli jednak chcemy się upewnić, możemy zaktualizować bazę danych poleceniem:
root@server:~# rkhunter --propupd
Jak tego użyć?
Aby sprawdzić, czy nasz system jest wolny od tych „błędów”, po prostu wykonujemy:
$ sudo rkhunter --check
Aplikacja zacznie przeprowadzać serię testów iw odpowiednim czasie poprosi nas o naciśnięcie klawisza ENTER, aby kontynuować. Wszystkie wyniki można znaleźć w pliku /var/log/rkhunter.log
Daje mi coś w zamian lubię to.
A jeśli zostaną znalezione „ostrzeżenia”, w jaki sposób można je wyeliminować? =)
W pliku /var/log/rkhunter.log podają wyjaśnienie, dlaczego Ostrzeżenie, w zdecydowanej większości przypadków można zignorować.
Z poważaniem.
Dzięki temu podsumowałem coś takiego, gdzie dostałem ostrzeżenie
Podsumowanie kontroli systemu
=====================
Sprawdzanie właściwości pliku ...
Sprawdzone pliki: 133
Podejrzane pliki: 1
Testy rootkitów ...
Sprawdzone rootkity: 242
Możliwe rootkity: 0
Kontrole aplikacji ...
Pominięto wszystkie kontrole
Kontrola systemu trwała: 1 minuta i 46 sekund
Wszystkie wyniki zostały zapisane w pliku dziennika (/var/log/rkhunter.log)
Dzięki za wskazówkę, przetestowany, zerowy wynik RootKit.
Nie mam dużej wiedzy na temat basha, ale dla mojego łuku zrobiłem następujący etc / cron.dayli / rkhunter
#! / Bin / sh
RKHUNTER = »/ usr / bin / rkhunter»
DATA = »echo -e '\ n ###################` date` ################## ## '»
DIR = »/ var / log / rkhunter.daily.log»
$ {DATA} >> $ {DIR}; $ {RKHUNTER} –aktualizacja; $ {RKHUNTER} –cronjob –report-warnings-only >> $ {DIR}; eksport DISPLAY =: 0 && notify-send "RKhunter zaznaczony"
Po prostu aktualizuje i wyszukuje rootkity, a wynik pozostawia w pliku
Testowane, 0 RootKit, dzięki za wkład.
Podsumowanie kontroli systemu
=====================
Sprawdzanie właściwości pliku ...
Sprawdzone pliki: 131
Podejrzane pliki: 0
Testy rootkitów ...
Sprawdzone rootkity: 242
Możliwe rootkity: 2
Nazwy rootkitów: Xzibit Rootkit, Xzibit Rootkit
Xzibit Rootkit… co to jest ??? Muszę to usunąć. Z góry dziękuję za pomoc. Pozdrowienia.
Spójrz na ten link: http://www.esdebian.org/foro/46255/posible-rootkit-xzibit-rootkit
prawdopodobnie rozwiązanie twojego problemu.
Dzięki za link, Oscar. To całkowicie rozwiązało mój problem. Nie mogę w to uwierzyć, błąd w mojej stabilnej Debianie. Nadchodzi apokalipsa: oP Pozdrowienia.
0 rootkitów 😀
To zabawne, że ukryty folder utworzony przez java (/etc/.java) pojawia się z ostrzeżenia.
lol
Dobry wpis, dzięki.
Pozdrowienia.
Cześć Elav. Dawno tu nie komentowałem, chociaż za każdym razem mogę przeczytać kilka artykułów.
Właśnie dzisiaj przeglądałem kwestie bezpieczeństwa i dotarłem do ujmującego <.Linux
Uruchomiłem rkhunter i dostałem kilka alarmów:
/usr/bin/unhide.rb [Ostrzeżenie]
Ostrzeżenie: polecenie '/usr/bin/unhide.rb' zostało zastąpione przez skrypt: /usr/bin/unhide.rb: skrypt Ruby, tekst ASCII
Sprawdzanie zmian w pliku z hasłami [Ostrzeżenie]
Ostrzeżenie: do pliku z hasłami dodano użytkownika „postfix”.
Sprawdzanie zmian w pliku grupy [Ostrzeżenie]
Ostrzeżenie: grupa „postfix” została dodana do pliku grupy.
Ostrzeżenie: do pliku grupy dodano „postdrop” grupy.
Sprawdzanie ukrytych plików i katalogów [Ostrzeżenie]
Ostrzeżenie: znaleziono ukryty katalog: /etc/.java
Ostrzeżenie: znaleziono ukryty katalog: /dev/.udev
Ostrzeżenie: znaleziono ukryty plik: /dev/.initramfs: dowiązanie symboliczne do `/ run / initramfs '
Ostrzeżenie: znaleziono ukryty plik: /usr/bin/android-sdk-linux/extras/android/support/v7/gridlayout/src/.readme: tekst ASCII
Ostrzeżenie: znaleziono ukryty plik: /usr/bin/android-sdk-linux/extras/android/support/v7/gridlayout/.classpath: tekst dokumentu XML
Ostrzeżenie: znaleziono ukryty plik: /usr/bin/android-sdk-linux/extras/android/support/v7/gridlayout/.project: tekst dokumentu XML
Jak mam je zinterpretować i co zrobić, aby rozwiązać te ostrzeżenia?
Uwaga: widzę, że ostatnia ma związek z sdk-android, który niedawno zainstalowałem, aby przetestować aplikację (czy możemy usunąć stronę rootkita i nadal go używać, czy lepiej się bez niego obejść?).
Pozdrawiam i powtarzam moje gratulacje dla KZKG ^ Gaara, dla Ciebie i dla wszystkich innych współpracowników (widzę, że zespół się powiększył).
Przepraszam, instaluję, ale w momencie uruchomienia tego polecenia otrzymuję to
Komenda:
rkhunter -c
błąd:
Nieprawidłowa opcja konfiguracji BINDIR: Znaleziono nieprawidłowy katalog: JAVA_HOME = / usr / lib / jvm / java-7-oracle
I niczego nie skanuję, po prostu tak pozostaje i nic więcej nie mogę zrobić ani jak to rozwiązać? Dziękuję ???
cześć mam ten wynik, czy możesz mi pomóc ... dzięki
Sprawdzanie sieci ...
Wykonywanie kontroli portów sieciowych
Sprawdzanie portów backdoora [nie znaleziono]
Sprawdzanie ukrytych portów [pominięto]
Sprawdzanie interfejsów sieciowych
Sprawdzanie rozwiązanych interfejsów [nie znaleziono]
Sprawdzanie lokalnego hosta ...
Wykonywanie testów rozruchu systemu
Sprawdzanie nazwy lokalnego hosta [Znaleziono]
Sprawdzanie plików startowych systemu [Znaleziono]
Sprawdzanie plików startowych systemu pod kątem złośliwego oprogramowania [Nie znaleziono]
Wykonywanie kontroli grup i kont
Sprawdzanie pliku z hasłami [Znaleziono]
Sprawdzanie kont równoważnych root (UID 0) [Nie znaleziono]
Sprawdzanie kont bez hasła [nie znaleziono]
Sprawdzanie zmian w pliku z hasłami [Ostrzeżenie]
Sprawdzanie zmian w pliku grupy [Ostrzeżenie]
Sprawdzanie plików historii powłoki konta root [Nie znaleziono]
Sprawdzanie plików konfiguracyjnych systemu
Sprawdzanie pliku konfiguracyjnego SSH [Nie znaleziono]
Sprawdzam, czy działa demon syslog [Znaleziono]
Sprawdzanie pliku konfiguracyjnego syslog [Znaleziono]
Sprawdzanie, czy zdalne rejestrowanie syslog jest dozwolone [Niedozwolone]
Wykonywanie kontroli systemu plików
Sprawdzanie / dev pod kątem podejrzanych typów plików [Ostrzeżenie]
Sprawdzanie ukrytych plików i katalogów [Ostrzeżenie]