Najprej moramo vedeti, kaj za vraga je Rootkit? Odgovor torej prepuščamo Wikipediji:
Rootkit je program, ki omogoča neprekinjen privilegiran dostop do računalnika, vendar svojo prisotnost aktivno skriva pred skrbniškim nadzorom, tako da poškoduje normalno delovanje operacijskega sistema ali drugih aplikacij. Izraz izhaja iz združitve angleške besede "root", kar pomeni root (tradicionalno ime privilegiranega računa v operacijskih sistemih Unix) in angleške besede "kit", ki pomeni nabor orodij (glede na programske komponente, ki izvajajo ta program). Izraz "rootkit" ima negativne konotacije, saj je povezan z zlonamerno programsko opremo.
Z drugimi besedami, običajno je povezan z zlonamerno programsko opremo, ki skriva sebe in druge programe, procese, datoteke, imenike, registrske ključe in vrata, ki vsiljivcu omogočajo dostop do najrazličnejših operacijskih sistemov, kot sta GNU / Linux, Solaris ali Microsoft Windows za oddaljeno ukazovanje dejanj ali pridobivanje občutljivih informacij.
No, zelo lepa definicija, ampak kako naj se zaščitim? No, v tej objavi ne bom govoril o tem, kako se zaščititi, ampak o tem, kako vedeti, ali imamo v našem operacijskem sistemu Rootkit. Kolegu prepuščam zaščito 😀
Prva stvar, ki jo naredimo, je namestitev paketa rkhunter. V preostalih distribucijah mislim, da veste, kako to storiti, v Debian:
$ sudo aptitude install rkhunter
Posodobi
V datoteki / etc / default / rkhunter Določeno je, da so baze podatkov posodobljene tedensko, da je preverjanje rootkiti je vsak dan in da se rezultati po elektronski pošti pošljejo skrbniku sistema (koren).
Če pa se želimo prepričati, lahko zbirko podatkov posodobimo z naslednjim ukazom:
root@server:~# rkhunter --propupd
Kako ga uporabiti?
Če želimo preveriti, da v našem sistemu ni teh "napak", preprosto izvedemo:
$ sudo rkhunter --check
Aplikacija bo začela izvajati vrsto pregledov in nas bo pravočasno prosila, da za nadaljevanje pritisnemo tipko ENTER. Vse rezultate najdete v datoteki /var/log/rkhunter.log
Nekaj mi vrne Všečkaj to.
In če se najdejo "Opozorila", kako se odpravijo? =)
V datoteki /var/log/rkhunter.log vam pojasnijo, zakaj je opozorilo v veliki večini primerov mogoče prezreti.
Lep pozdrav.
Hvala mi je povzel nekaj takega, kjer sem dobil opozorilo
Povzetek sistemskih preverjanj
=====================
Preverjanje lastnosti datoteke ...
Preverjene datoteke: 133
Osumljene datoteke: 1
Preverjanje rootkitov ...
Preverjeni osnovni kompleti: 242
Možni rootkiti: 0
Preverjanje aplikacij ...
Vsi pregledi so preskočeni
Preverjanje sistema je trajalo: 1 minuto in 46 sekund
Vsi rezultati so zapisani v dnevniško datoteko (/var/log/rkhunter.log)
Hvala za nasvet, preizkušen, nič rezultat RootKit.
Nimam veliko znanja o bashu, vendar sem za svoj lok naredil naslednje etc / cron.dayli / rkhunter
# / Bin / sh
RKHUNTER = »/ usr / bin / rkhunter»
DATUM = »echo -e '\ n #####################` date` ################### ## '»
DIR = »/ var / log / rkhunter.daily.log»
$ {DATUM} >> $ {DIR}; $ {RKHUNTER} –posodobitev; $ {RKHUNTER} –cronjob –sporočila-samo-opozorila >> $ {DIR}; izvoz DISPLAY =: 0 && notify-send "RKhunter preverjen"
Kar počne, je v bistvu posodobiti in poiskati rootkite, rezultat pa mi pustiti v datoteki
Preizkušeno, 0 RootKit, hvala za prispevek.
Povzetek sistemskih preverjanj
=====================
Preverjanje lastnosti datoteke ...
Preverjene datoteke: 131
Osumljene datoteke: 0
Preverjanje rootkitov ...
Preverjeni osnovni kompleti: 242
Možni rootkiti: 2
Imena rootkitov: Xzibit Rootkit, Xzibit Rootkit
Xzibit Rootkit ... kaj je to ??? Moram ga izbrisati. Vnaprej hvala za pomoč. Pozdravi.
Poglejte to povezavo: http://www.esdebian.org/foro/46255/posible-rootkit-xzibit-rootkit
morda rešitev za vaš problem.
Hvala za povezavo, Oscar. V celoti je rešil moj problem. Ne morem verjeti, napaka v moji Debian Stable. Apokalipsa prihaja: oP Lep pozdrav.
0 rootkitov 😀
Smešno se mi zdi, da se izogibam opozorilom na skrito mapo, ki jo je ustvaril java (/etc/.java).
hahaha
Dober prispevek, hvala.
Lep pozdrav.
Živjo Elav. Tukaj že dolgo nisem komentiral, čeprav vsakič, ko lahko, preberem nekatere članke.
Ravno danes sem pregledoval varnostna vprašanja in prišel do prisrčnega <.Linuxa
Zagnal sem rkhunter in dobil nekaj alarmov:
/usr/bin/unhide.rb [Opozorilo]
Opozorilo: Ukaz '/usr/bin/unhide.rb' je nadomeščen s skriptom: /usr/bin/unhide.rb: Ruby skript, besedilo ASCII
Preverjanje sprememb datotek passwd [Opozorilo]
Opozorilo: Uporabnik 'postfix' je dodan v datoteko passwd.
Preverjanje sprememb v datoteki skupine [Opozorilo]
Opozorilo: Datoteki skupine je bila dodana "postfix" skupine.
Opozorilo: Datoteki skupine je dodan 'postdrop'.
Preverjanje skritih datotek in imenikov [Opozorilo]
Opozorilo: Najden skriti imenik: /etc/.java
Opozorilo: Najden skriti imenik: /dev/.udev
Opozorilo: Najdena skrita datoteka: /dev/.initramfs: simbolna povezava na `/ run / initramfs '
Opozorilo: Najdena skrita datoteka: /usr/bin/android-sdk-linux/extras/android/support/v7/gridlayout/src/.readme: besedilo ASCII
Opozorilo: Najdena skrita datoteka: /usr/bin/android-sdk-linux/extras/android/support/v7/gridlayout/.classpath: besedilo dokumenta XML
Opozorilo: Najdena skrita datoteka: /usr/bin/android-sdk-linux/extras/android/support/v7/gridlayout/.project: besedilo dokumenta XML
Kako naj si jih razlagam in kaj naj storim, da razrešim ta opozorila?
Opomba: Vidim, da ima zadnja povezavo s sdk-android, ki sem ga pred kratkim namestil za preizkušanje aplikacije (lahko odstranimo njeno rootkit stran in jo še naprej uporabljamo ali je bolje, če ne gre brez nje?).
Lep pozdrav in ponavljam čestitke KZKG ^ Gaara, tebi in vsem ostalim sodelavcem (vidim, da je ekipa narasla).
Oprostite za namestitev, toda v trenutku izvrševanja tega ukaza sem dobil to
ukaz:
rkhonter -c
napaka:
Neveljavna konfiguracijska možnost BINDIR: Najden je bil neveljaven imenik: JAVA_HOME = / usr / lib / jvm / java-7-oracle
In ničesar ne skeniram, ostane samo tako in nič drugega ne morem storiti ali kako to rešiti? Hvala ???
živjo, dobil sem ta rezultat, mi lahko pomagaš ... hvala
Preverjanje omrežja ...
Izvajanje pregledov na omrežnih vratih
Preverjanje vrat v ozadju [Ni najdeno]
Preverjanje skritih vrat [Preskočeno]
Opravljanje pregledov na omrežnih vmesnikih
Preverjanje neskladnih vmesnikov [Ni najdeno]
Preverjanje lokalnega gostitelja ...
Izvajanje preverjanj zagona sistema
Preverjanje imena lokalnega gostitelja [Najdeno]
Preverjanje zagonskih datotek sistema [Najdeno]
Preverjanje zagonskih datotek sistema za zlonamerno programsko opremo [Ni jih mogoče najti]
Opravljanje pregledov skupin in računov
Preverjanje datoteke passwd [Najdeno]
Preverjanje računov ekvivalentov root (UID 0) [Ni jih mogoče najti]
Preverjanje računov brez gesla [Ni jih mogoče najti]
Preverjanje sprememb datotek passwd [Opozorilo]
Preverjanje sprememb v datoteki skupine [Opozorilo]
Preverjanje zgodovinskih datotek lupine korenskega računa [Ni najdeno]
Izvajanje preverjanj sistemske konfiguracijske datoteke
Preverjanje konfiguracijske datoteke SSH [Ni najdeno]
Preverjanje izvajanja demona syslog [Najdeno]
Preverjanje konfiguracijske datoteke syslog [Najdeno]
Preverjanje, ali je dovoljeno oddaljeno beleženje syslog [Ni dovoljeno]
Izvajanje preverjanj datotečnega sistema
Preverjanje / razvijanje sumljivih vrst datotek [Opozorilo]
Preverjanje skritih datotek in imenikov [Opozorilo]