Первое, что нам нужно знать, это что такое руткит? Поэтому оставляем ответ Википедии:
Руткит - это программа, которая обеспечивает непрерывный привилегированный доступ к компьютеру, но активно скрывает свое присутствие от контроля администраторов, нарушая нормальную работу операционной системы или других приложений. Термин происходит от объединения английского слова «root», которое означает root (традиционное название привилегированной учетной записи в операционных системах Unix), и английского слова «kit», которое означает набор инструментов (по отношению к программным компонентам, которые реализуют эта программа). Термин «руткит» имеет негативный оттенок, поскольку ассоциируется с вредоносным ПО.
Другими словами, он обычно связан с вредоносным ПО, которое скрывает себя и другие программы, процессы, файлы, каталоги, ключи реестра и порты, которые позволяют злоумышленнику поддерживать доступ к широкому спектру операционных систем, таких как GNU / Linux, Solaris. или Microsoft Windows для удаленного управления действиями или извлечения конфиденциальной информации.
Что ж, очень хорошее определение, но как мне защитить себя? Что ж, в этом посте я буду говорить не о том, как защитить себя, а о том, как узнать, есть ли в нашей операционной системе руткит. Я оставлю защиту моему коллеге
Первым делом устанавливаем пакет. RkHunter. В остальных дистрибутивах, я полагаю, вы знаете, как это сделать, в Debian:
$ sudo aptitude install rkhunter
Обновлено
В файле / и т.д. / по умолчанию / rkhunter Определено, что обновления базы данных еженедельные, что проверка руткитов ежедневно, а результаты отправляются системному администратору по электронной почте (корень).
Однако, если мы хотим убедиться, мы можем обновить базу данных с помощью следующей команды:
root@server:~# rkhunter --propupd
Как это использовать?
Чтобы проверить, что наша система не содержит этих «ошибок», мы просто выполняем:
$ sudo rkhunter --check
Приложение начнет выполнять серию проверок и со временем попросит нас нажать клавишу ENTER, чтобы продолжить. Со всеми результатами можно ознакомиться в файле /var/log/rkhunter.log.
Это дает мне что-то взамен как это.
А если обнаруживаются «предупреждения», как их устранять? знак равно
В файле /var/log/rkhunter.log они объясняют, почему Предупреждение в подавляющем большинстве случаев можно игнорировать.
С уважением.
Спасибо дал мне резюме примерно так, где я получил предупреждение
Сводка системных проверок
=====================
Проверка свойств файла ...
Проверено файлов: 133
Подозрительные файлы: 1
Проверяет руткит ...
Проверено руткитов: 242
Возможные руткиты: 0
Приложения проверяют…
Все проверки пропущены
Проверка системы заняла: 1 минуту 46 секунд.
Все результаты записаны в файл журнала (/var/log/rkhunter.log)
Спасибо за подсказку, протестировал, результат RootKit нулевой.
У меня мало знаний о bash, но для моей арки я сделал следующее: etc / cron.dayli / rkhunter
#! / Bin / ш
RKHUNTER = »/ usr / bin / rkhunter»
ДАТА = »echo -e '\ n ###################` дата` ################# ## '»
DIR = »/ var / log / rkhunter.daily.log»
$ {DATE} >> $ {DIR}; $ {RKHUNTER} –обновить; $ {RKHUNTER} –cronjob –report-warnings-only >> $ {DIR}; export DISPLAY =: 0 && notify-send "RKhunter проверен"
Что он делает, так это обновляет и проверяет, есть ли в основном руткиты, и оставляет мне результат в файле
Протестировано, 0 RootKit, спасибо за вклад.
Сводка системных проверок
=====================
Проверка свойств файла ...
Проверено файлов: 131
Подозрительные файлы: 0
Проверяет руткит ...
Проверено руткитов: 242
Возможные руткиты: 2
Имена руткитов: Xzibit Rootkit, Xzibit Rootkit
Xzibit Rootkit… что это ??? Я должен это удалить. Заранее спасибо за помощь. С уважением.
Взгляните на эту ссылку: http://www.esdebian.org/foro/46255/posible-rootkit-xzibit-rootkit
возможно решение вашей проблемы.
Спасибо за ссылку, Оскар. Это полностью решило мою проблему. Не могу поверить, это ошибка в моей стабильной версии Debian. Грядет апокалипсис: oP Привет.
0 руткитов 😀
Мне смешно, что я не предупреждаю о скрытой папке, созданной java (/etc/.java).
LOL
Хороший вклад, спасибо.
Привет.
Привет, Элав. Я здесь давно не комментирую, хотя каждый раз могу читать некоторые статьи.
Буквально сегодня я рассматривал вопросы безопасности и дошел до милого <.Linux
Я запустил rkhunter и получил несколько сигналов тревоги:
/usr/bin/unhide.rb [Предупреждение]
Предупреждение: команда '/usr/bin/unhide.rb' была заменена скриптом: /usr/bin/unhide.rb: скрипт Ruby, текст ASCII
Проверка изменений файла passwd [Предупреждение]
Предупреждение: Пользовательский постфикс был добавлен в файл passwd.
Проверка изменений группового файла [Предупреждение]
Предупреждение: группа 'postfix' была добавлена в файл группы.
Предупреждение: группа 'postdrop' была добавлена в файл группы.
Проверка на наличие скрытых файлов и каталогов [Предупреждение]
Предупреждение: найден скрытый каталог: /etc/.java
Предупреждение: найден скрытый каталог: /dev/.udev
Предупреждение: обнаружен скрытый файл: /dev/.initramfs: символическая ссылка на `/ run / initramfs '
Предупреждение: обнаружен скрытый файл: /usr/bin/android-sdk-linux/extras/android/support/v7/gridlayout/src/.readme: текст ASCII
Предупреждение: обнаружен скрытый файл: /usr/bin/android-sdk-linux/extras/android/support/v7/gridlayout/.classpath: текст XML-документа
Предупреждение: обнаружен скрытый файл: /usr/bin/android-sdk-linux/extras/android/support/v7/gridlayout/.project: текст XML-документа
Как мне их интерпретировать и что делать, чтобы устранить эти предупреждения?
Примечание: я вижу, что последний имеет отношение к sdk-android, который я недавно установил для тестирования приложения (можем ли мы удалить его часть руткита и продолжить его использование, или лучше обойтись без него?).
Приветствую и еще раз поздравляю KZKG ^ Gaara, вас и всех других сотрудников (я вижу, что команда выросла).
Извините за установку, но как только я запускаю эту команду, я получаю это
команда:
rkhunter -c
ошибка:
Неверный параметр конфигурации BINDIR: обнаружен недопустимый каталог: JAVA_HOME = / usr / lib / jvm / java-7-oracle
И я ничего не сканирую, просто так и остается, и больше ничего не могу сделать или как решить? Спасибо ???
привет, я получил этот результат, вы можете мне помочь ... спасибо
Проверка сети ...
Проведение проверок сетевых портов
Проверка бэкдор-портов [Ничего не найдено]
Проверка на наличие скрытых портов [Пропущено]
Выполнение проверок сетевых интерфейсов
Проверка на случайные интерфейсы [Ничего не найдено]
Проверка локального хоста ...
Выполнение проверки загрузки системы
Проверка имени локального хоста [Найдено]
Проверка файлов запуска системы [Найдено]
Проверка файлов запуска системы на наличие вредоносных программ [Ничего не найдено]
Проведение групповых и учетных проверок
Проверка файла passwd [Найдено]
Проверка эквивалентных учетных записей (UID 0) [Ничего не найдено]
Проверка учетных записей без пароля [Ничего не найдено]
Проверка изменений файла passwd [Предупреждение]
Проверка изменений группового файла [Предупреждение]
Проверка файлов истории оболочки учетной записи root [не найдено]
Проверка файла конфигурации системы
Проверка файла конфигурации SSH [Не найдено]
Проверка запуска демона системного журнала [Найдено]
Проверка файла конфигурации системного журнала [Найдено]
Проверка, разрешено ли удаленное ведение журнала syslog [Не разрешено]
Выполнение проверок файловой системы
Проверка / dev на наличие подозрительных типов файлов [Предупреждение]
Проверка на наличие скрытых файлов и каталогов [Предупреждение]