Прво што треба да знамо је шта је дођавола Рооткит? Дакле, одговор препуштамо Википедији:
Рооткит је програм који омогућава континуирани привилеговани приступ рачунару, али активно чува своје присуство скривено од контроле администратора кваријући нормалан рад оперативног система или других апликација. Термин потиче од повезивања енглеске речи „роот“ што значи роот (традиционални назив привилегованог налога у оперативним системима Уник) и енглеске речи „кит“ што значи скуп алата (у вези са софтверским компонентама које ово имплементирају програм). Израз „рооткит“ има негативне конотације јер је повезан са малвером.
Другим речима, обично је повезан са злонамерним софтвером, који скрива себе и друге програме, процесе, датотеке, директоријуме, кључеве регистра и портове који уљезу омогућавају да одржи приступ широком спектру оперативних система као што су ГНУ / Линук, Соларис или Мицрософт Виндовс за даљинско командовање радњама или издвајање осетљивих информација.
Па, врло лепа дефиниција, али како да се заштитим? Па, у овом посту нећу говорити о томе како да се заштитимо, већ о томе како да знамо да ли имамо Рооткит у нашем оперативном систему. О заштити препуштам колеги 😀
Прво што урадимо је да инсталирамо пакет ркхунтер. У остатку дистрибуција претпостављам да знате како се то ради у Дебиан:
$ sudo aptitude install rkhunter
Ажурирај
У досијеу / етц / дефаулт / ркхунтер Дефинисано је да се ажурирање базе података врши недељно, да се врши верификација рооткит је свакодневно и да се резултати шаљу е-поштом администратору система (корен).
Међутим, ако желимо бити сигурни, можемо ажурирати базу података следећом наредбом:
root@server:~# rkhunter --propupd
Како употребљавати?
Да бисмо проверили да ли је наш систем ослобођен ових „грешака“, једноставно извршимо:
$ sudo rkhunter --check
Апликација ће започети са низом провера и на крају ће тражити да притиснемо тастер ЕНТЕР за наставак. Сви резултати се могу погледати у датотеци /вар/лог/ркхунтер.лог
Врати ми нешто овако.
А ако се пронађу „упозорења“, како се елиминишу? =)
У датотеци /вар/лог/ркхунтер.лог дају вам објашњење зашто се упозорење у великој већини случајева може занемарити.
Срдачан поздрав.
Хвала ми је дао резиме тако некако, где сам добио Упозорење
Резиме системских провера
=====================
Провера својстава датотеке ...
Проверених датотека: 133
Осумњичене датотеке: 1
Рооткит провере ...
Проверени рооткити: 242
Могући рооткитови: 0
Провере апликација ...
Све провере прескочене
Провера система је трајала: 1 минут и 46 секунди
Сви резултати су записани у датотеку дневника (/вар/лог/ркхунтер.лог)
Хвала на савету, тестиран, нула резултата РоотКит.
Немам пуно знања о басху, али за свој лук сам урадио следеће етц / црон.даили / ркхунтер
# / Бин / сх
РКХУНТЕР = »/ уср / бин / ркхунтер»
ДАТУМ = »ецхо -е '\ н ####################` датум` ################### ## '»
ДИР = »/ вар / лог / ркхунтер.даили.лог»
$ {ДАТУМ} >> $ {ДИР}; $ {РКХУНТЕР} –ажурирано; $ {РКХУНТЕР} –цроњоб –репорт-упозорења-само >> $ {ДИР}; извоз ДИСПЛАИ =: 0 && нотифи-сенд "РКхунтер проверен"
Оно што ради је да у основи ажурира и тражи роотките и остави ми резултат у датотеци
Тестирано, 0 РоотКит, хвала на уносу.
Резиме системских провера
=====================
Провера својстава датотеке ...
Проверених датотека: 131
Осумњичене датотеке: 0
Рооткит провере ...
Проверени рооткити: 242
Могући рооткитови: 2
Имена рооткита: Ксзибит Рооткит, Ксзибит Рооткит
Ксзибит Рооткит ... шта је ово ??? Морам да га избришем. Хвала унапред на помоћи. Поздрави.
Погледајте овај линк: http://www.esdebian.org/foro/46255/posible-rootkit-xzibit-rootkit
могуће решење вашег проблема.
Хвала на вези, Осцар. У потпуности је решио мој проблем. Не могу да верујем, грешка у мојој Дебиан стабилној. Апокалипса долази: оП Поздрав.
0 рооткита 😀
Смешно ми је што скривена фасцикла коју је креирао јава (/етц/.јава) излази из упозорења.
хахаха
Добар допринос, хвала.
Поздрав.
Здраво Елав. Дуго нисам овде коментарисао, мада сваки пут кад могу прочитао сам неке од чланака.
Баш данас сам прегледавао сигурносна питања и дошао до симпатичног <.Линук-а
Трчао сам ркхунтер и добио неке аларме:
/уср/бин/унхиде.рб [Упозорење]
Упозорење: Наредба '/уср/бин/унхиде.рб' замењена је скриптом: /уср/бин/унхиде.рб: Руби скрипта, АСЦИИ текст
Провера промена датотеке пассвд [Упозорење]
Упозорење: Корисник „постфик“ је додат у датотеку пассвд.
Провера промена датотека у групи [Упозорење]
Упозорење: Група „постфик“ је додата у датотеку групе.
Упозорење: Група 'постдроп' је додата у датотеку групе.
Провера скривених датотека и директоријума [Упозорење]
Упозорење: Пронађен скривени директоријум: /етц/.јава
Упозорење: Пронађен скривени директоријум: /дев/.удев
Упозорење: Пронађена скривена датотека: /дев/.инитрамфс: симболична веза до `/ рун / инитрамфс '
Упозорење: Пронађена скривена датотека: /уср/бин/андроид-сдк-линук/ектрас/андроид/суппорт/в7/гридлаиоут/срц/.реадме: АСЦИИ текст
Упозорење: Пронађена скривена датотека: /уср/бин/андроид-сдк-линук/ектрас/андроид/суппорт/в7/гридлаиоут/.цласспатх: КСМЛ текст документа
Упозорење: Пронађена скривена датотека: /уср/бин/андроид-сдк-линук/ектрас/андроид/суппорт/в7/гридлаиоут/.пројецт: Текст КСМЛ документа
Како да их протумачим и шта да радим да бих решио ова упозорења?
Напомена: Видим да последња има везе са сдк-андроид-ом, који сам недавно инсталирао за тестирање апликације (може ли се уклонити његова рооткит страна и наставити користити или је боље без ње?).
Поздрав и понављам своје честитке КЗКГ ^ Гаари, вама и свим осталим сарадницима (видим да је тим порастао).
Извините ме за инсталацију, али тренутак извршења ове наредбе схватам ово
наредба:
ркхунтер -ц
greška:
Неважећа опција конфигурације БИНДИР: Пронађен је неважећи директоријум: ЈАВА_ХОМЕ = / уср / либ / јвм / јава-7-орацле
И не скенирам ништа, остаје само овако и ништа друго не могу да урадим или како то да решим? Хвала ???
здраво, добио сам овај резултат, можете ли ми помоћи ... хвала
Провера мреже ...
Обављање провера на мрежним портовима
Провера за бацкдоор луке [није пронађен]
Провера скривених портова [Прескочено]
Обављање провера мрежних интерфејса
Провера неисправних интерфејса [није пронађен]
Провера локалног домаћина ...
Обављање провера покретања система
Провера имена локалног хоста [пронађено]
Провера датотека за покретање система [пронађено]
Провера системских датотека за покретање система да ли постоји малвер [Није пронађено]
Обављање провера група и рачуна
Провера датотеке пассвд [пронађена]
Провера налога за еквивалент роот (УИД 0) [није пронађена]
Провера налога без лозинке [није пронађен]
Провера промена датотеке пассвд [Упозорење]
Провера промена датотека у групи [Упозорење]
Провера датотека историје љуске роот налога [није пронађена]
Обављање провере системске датотеке конфигурације
Провера ССХ датотеке за конфигурацију [Није пронађена]
Провера да ли је покренут демон сислог-а [пронађено]
Провера конфигурационе датотеке сислог [Пронађена]
Провера да ли је дозвољено даљинско евидентирање сислог-а [Није дозвољено]
Обављање провера система датотека
Провера / развој програма за сумњиве типове датотека [Упозорење]
Провера скривених датотека и директоријума [Упозорење]