Primul lucru pe care trebuie să-l știm este ce naiba este un Rootkit? Așa că lăsăm răspunsul la Wikipedia:
Un rootkit este un program care permite accesul privilegiat continuu la un computer, dar își păstrează în mod activ prezența ascunsă de controlul administratorilor prin coruperea funcționării normale a sistemului de operare sau a altor aplicații. Termenul provine dintr-o concatenare a cuvântului englezesc „rădăcină” care înseamnă rădăcină (denumirea tradițională a contului privilegiat în sistemele de operare Unix) și din cuvântul englezesc „kit” care înseamnă set de instrumente care implementează acest program). Termenul „rootkit” are conotații negative, deoarece este asociat cu malware.
Cu alte cuvinte, este de obicei asociat cu malware, care se ascunde pe sine și alte programe, procese, fișiere, directoare, chei de registry și porturi care permit intrusului să mențină accesul la o mare varietate de sisteme de operare, cum ar fi GNU / Linux, Solaris sau Microsoft Windows pentru a comanda de la distanță acțiuni sau extrage informații sensibile.
Ei bine, o definiție foarte frumoasă, dar cum mă protejez? Ei bine, în această postare nu voi vorbi despre cum să ne protejăm, ci despre cum să știm dacă avem un Rootkit în sistemul nostru de operare. Îl las pe colegul meu despre protecție 😀
Primul lucru pe care îl facem este să instalăm pachetul rkhunter. În restul distribuțiilor, presupun că știi cum să o faci, în Debian:
$ sudo aptitude install rkhunter
actualizare
În fișier / etc / default / rkhunter Se definește că actualizările bazei de date sunt săptămânale, că verificarea rootkit-uri este zilnic și că rezultatele sunt trimise prin e-mail administratorului de sistem (rădăcină).
Cu toate acestea, dacă vrem să ne asigurăm, putem actualiza baza de date cu următoarea comandă:
root@server:~# rkhunter --propupd
Cum să-l folosească?
Pentru a verifica dacă sistemul nostru nu conține aceste „bug-uri”, pur și simplu executăm:
$ sudo rkhunter --check
Aplicația va începe să efectueze o serie de verificări și, în timp util, ne va cere să apăsăm tasta ENTER pentru a continua. Toate rezultatele pot fi consultate în fișierul /var/log/rkhunter.log
Îmi dă ceva înapoi asa.
Și dacă se găsesc „Avertismente”, cum sunt ele eliminate? =)
În fișierul /var/log/rkhunter.log vă oferă o explicație de ce avertismentul, în marea majoritate a cazurilor, poate fi ignorat.
Toate cele bune.
Mulțumesc mi-a oferit un rezumat așa ceva, unde am primit avertismentul
Rezumatul verificărilor sistemului
=====================
Verificările proprietăților fișierului ...
Fișiere verificate: 133
Dosare suspecte: 1
Verificări Rootkit ...
Kituri de rădăcină verificate: 242
Kituri de root posibile: 0
Verificări aplicații ...
S-au omis toate cecurile
Verificările sistemului au durat: 1 minut și 46 de secunde
Toate rezultatele au fost scrise în fișierul jurnal (/var/log/rkhunter.log)
Vă mulțumim pentru sfat, testat, rezultat zero RootKit.
Nu am prea multe cunoștințe despre bash, dar pentru arcul meu am făcut următoarele etc / cron.dayli / rkhunter
# / Bin / sh
RKHUNTER = »/ usr / bin / rkhunter»
DATE = »echo -e '\ n #####################` date` #################### ## '»
DIR = »/ var / log / rkhunter.daily.log»
$ {DATE} >> $ {DIR}; $ {RKHUNTER} –actualizare; $ {RKHUNTER} –cronjob –report-warnings-only >> $ {DIR}; export DISPLAY =: 0 && notifica-trimite "RKhunter verificat"
Ceea ce face este să actualizeze și să caute rootkituri practic și să-mi lase rezultatul într-un fișier
Testat, 0 RootKit, mulțumesc pentru intrare.
Rezumatul verificărilor sistemului
=====================
Verificările proprietăților fișierului ...
Fișiere verificate: 131
Dosare suspecte: 0
Verificări Rootkit ...
Kituri de rădăcină verificate: 242
Kituri de root posibile: 2
Nume Rootkit: Xzibit Rootkit, Xzibit Rootkit
Xzibit Rootkit ... ce este asta ??? Trebuie să-l șterg. Vă mulțumim anticipat pentru ajutor. Salutari.
Uită-te la acest link: http://www.esdebian.org/foro/46255/posible-rootkit-xzibit-rootkit
posibil soluția la problema dvs.
Mulțumesc pentru link, Oscar. Mi-a rezolvat complet problema. Nu-mi vine să cred, o eroare în Debian Stable. Apocalipsa vine: oP Salutări.
0 rootkit-uri 😀
Mi se pare amuzant că un folder ascuns creat de java (/etc/.java) iese din avertisment.
lol
Bun aport, mulțumesc.
Salutări.
Salut Elav. Nu am comentat aici de mult timp, deși de fiecare dată pot citi unele articole.
Chiar astăzi am analizat problemele de securitate și am ajuns la <.Linux
Am alergat rkhunter și am primit câteva alarme:
/usr/bin/unhide.rb [Avertisment]
Avertisment: Comanda „/usr/bin/unhide.rb” a fost înlocuită cu un script: /usr/bin/unhide.rb: script Ruby, text ASCII
Verificarea modificărilor fișierului passwd [Atenție]
Avertisment: Utilizatorul „postfix” a fost adăugat la fișierul passwd.
Verificarea modificărilor fișierelor de grup [Atenție]
Atenție: grupul „postfix” a fost adăugat la fișierul grupului.
Avertisment: grupul „postdrop” a fost adăugat la fișierul grupului.
Verificarea fișierelor și directoarelor ascunse [Atenție]
Avertisment: Director ascuns găsit: /etc/.java
Atenție: Director ascuns găsit: /dev/.udev
Avertisment: S-a găsit un fișier ascuns: /dev/.initramfs: link simbolic către `/ run / initramfs '
Atenție: fișier ascuns găsit: /usr/bin/android-sdk-linux/extras/android/support/v7/gridlayout/src/.readme: text ASCII
Avertisment: Fișier ascuns găsit: /usr/bin/android-sdk-linux/extras/android/support/v7/gridlayout/.classpath: text document XML
Atenție: fișier ascuns găsit: /usr/bin/android-sdk-linux/extras/android/support/v7/gridlayout/.project: text document XML
Cum ar trebui să le interpretez și ce ar trebui să fac pentru a rezolva aceste avertismente?
Notă: văd că ultima are legătură cu sdk-android, pe care l-am instalat recent pentru a testa o aplicație (putem să-i eliminăm partea rootkit și să o folosim în continuare sau este mai bine să o facem fără ea?).
Salutări și îmi reiterez felicitările către KZKG ^ Gaara, către dumneavoastră și către toți ceilalți colaboratori (văd că echipa a crescut).
Scuză-mă să instalez, dar în momentul în care execut această comandă, primesc asta
comanda:
rkhunter -c
eroare:
Opțiune de configurare BINDIR nevalidă: Director nevalid găsit: JAVA_HOME = / usr / lib / jvm / java-7-oracle
Și nu scanez nimic, rămâne așa și nimic altceva nu pot face sau cum o rezolv? Mulțumesc ???
salut am primit acest rezultat, ma puteti ajuta ... multumesc
Se verifică rețeaua ...
Efectuarea verificărilor porturilor de rețea
Verificarea porturilor din spate [Nu a fost găsit]
Verificarea porturilor ascunse [Omis]
Efectuarea verificărilor asupra interfețelor de rețea
Verificarea interfețelor promiscue [Nu a fost găsită]
Se verifică gazda locală ...
Efectuarea verificărilor de pornire a sistemului
Verificarea numelui de gazdă locală [Găsit]
Verificarea fișierelor de pornire a sistemului [Găsit]
Verificarea fișierelor de pornire a sistemului pentru malware [Nu a fost găsit]
Efectuarea verificărilor de grup și de cont
Verificarea fișierului passwd [Găsit]
Verificarea conturilor echivalente rădăcină (UID 0) [Nu a fost găsit]
Verificarea conturilor fără parolă [Nu a fost găsit]
Verificarea modificărilor fișierului passwd [Atenție]
Verificarea modificărilor fișierelor de grup [Atenție]
Verificarea fișierelor istoric shell shell cont [Nu a fost găsit]
Efectuarea verificărilor de fișiere de configurare a sistemului
Verificarea fișierului de configurare SSH [Nu a fost găsit]
Se verifică dacă rulează syslog daemon [Găsit]
Verificarea fișierului de configurare syslog [Găsit]
Verificarea dacă este permisă înregistrarea la distanță syslog [Nu este permis]
Efectuarea verificărilor sistemului de fișiere
Verificarea / dev pentru tipurile de fișiere suspecte [Atenție]
Verificarea fișierelor și directoarelor ascunse [Atenție]