Kontrollera om du har något Rootkit på ditt system med rkhunter

rkhunter

Det första vi behöver veta är vad det är en Rootkit? Så vi lämnar svaret på Wikipedia:

En rootkit är ett program som möjliggör kontinuerlig privilegierad åtkomst till en dator men aktivt håller sin närvaro dold från administratörernas kontroll genom att skada operativsystemets eller andra applikations normala funktion. Termen kommer från en sammanfogning av det engelska ordet "root" som betyder root (traditionellt namn på det privilegierade kontot i Unix-operativsystem) och från det engelska ordet "kit" som betyder uppsättning verktyg (med hänvisning till mjukvarukomponenterna som genomför detta program). Termen "rootkit" har negativa konnotationer eftersom den är associerad med skadlig kod.

Med andra ord är det vanligtvis associerat med skadlig kod, som döljer sig själv och andra program, processer, filer, kataloger, registernycklar och portar som gör det möjligt för inkräktaren att behålla tillgång till ett brett utbud av operativsystem som GNU / Linux, Solaris eller Microsoft Windows för att fjärrstyra åtgärder eller extrahera känslig information.

Tja, en mycket trevlig definition men hur skyddar jag mig? Tja, i det här inlägget kommer jag inte att prata om hur vi kan skydda oss själva, utan om hur man vet om vi har ett Rootkit i vårt operativsystem. Jag lämnar det åt min kollega om skydd 😀

Det första vi gör är att installera paketet rkhunter. I resten av distributionerna antar jag att du vet hur man gör det, i Debian:

$ sudo aptitude install rkhunter

Uppdatera

I filen / etc / default / rkhunter Det definieras att databasuppdateringarna sker varje vecka, att verifieringen av rootkits är dagligen och att resultaten skickas via e-post till systemadministratören (rot).

Men om vi vill vara säkra kan vi uppdatera databasen med följande kommando:

root@server:~# rkhunter --propupd

Hur man använder det?

För att kontrollera att vårt system är fritt från dessa "buggar" kör vi helt enkelt:

$ sudo rkhunter --check

Ansökan kommer att börja utföra en serie kontroller och med tiden kommer den att be oss att trycka på ENTER-knappen för att fortsätta. Alla resultat finns i filen /var/log/rkhunter.log

Det ger mig något tillbaka så här.


Innehållet i artikeln följer våra principer om redaktionell etik. Klicka på för att rapportera ett fel här.

14 kommentarer, lämna din

Lämna din kommentar

Din e-postadress kommer inte att publiceras.

*

*

  1. Ansvarig för uppgifterna: Miguel Ángel Gatón
  2. Syftet med uppgifterna: Kontrollera skräppost, kommentarhantering.
  3. Legitimering: Ditt samtycke
  4. Kommunikation av uppgifterna: Uppgifterna kommer inte att kommuniceras till tredje part förutom enligt laglig skyldighet.
  5. Datalagring: databas värd för Occentus Networks (EU)
  6. Rättigheter: När som helst kan du begränsa, återställa och radera din information.

  1.   Guillermo sade

    Och om "Varningar" hittas, hur elimineras de? =)

    1.    Jesus Ballesteros sade

      I filen /var/log/rkhunter.log ger de dig en förklaring till varför varningen i de allra flesta fall kan ignoreras.

      Vänliga hälsningar.

      1.    Guillermo sade

        Tack gav mig en sammanfattning något så här, där jag fick varningen

        Sammanfattning av systemkontroller
        =====================

        Kontroll av filegenskaper ...
        Kontrollerade filer: 133
        Misstänkta filer: 1

        Rootkit-kontroller ...
        Kontrollerade rootkits: 242
        Möjliga rootkits: 0

        Applikationskontroller ...
        Alla kontroller hoppades över

        Systemkontrollerna tog: 1 minut och 46 sekunder

        Alla resultat har skrivits till loggfilen (/var/log/rkhunter.log)

  2.   oscar sade

    Tack för tipset, testat, nollresultat RootKit.

  3.   riskerar att sade

    Jag har inte mycket kunskap om bash men för min båge gjorde jag följande etc / cron.dayli / rkhunter

    #! / Bin / sh
    RKHUNTER = »/ usr / bin / rkhunter»
    DATUM = »echo -e '\ n #######################" datum "######################## ## '»
    DIR = »/ var / log / rkhunter.daily.log»

    $ {DATE} >> $ {DIR}; $ {RKHUNTER} –uppdatering; $ {RKHUNTER} –avräkning - endast rapporter-varningar >> $ {DIR}; exportera DISPLAY =: 0 && meddela-skicka "RKhunter kontrollerad"

    Vad det gör är att uppdatera och leta efter rootkits i princip och lämna resultatet i en fil

  4.   invisible15 sade

    Testat, 0 RootKit, tack för inmatningen.

  5.   Mördardrottning sade

    Sammanfattning av systemkontroller
    =====================

    Kontroll av filegenskaper ...
    Kontrollerade filer: 131
    Misstänkta filer: 0

    Rootkit-kontroller ...
    Kontrollerade rootkits: 242
    Möjliga rootkits: 2
    Rootkit-namn: Xzibit Rootkit, Xzibit Rootkit

    Xzibit Rootkit ... vad är det här ??? Jag måste ta bort den. Tack på förhand för hjälpen. Hälsningar.

    1.    oscar sade

      Titta på den här länken: http://www.esdebian.org/foro/46255/posible-rootkit-xzibit-rootkit
      möjligen lösningen på ditt problem.

      1.    Mördardrottning sade

        Tack för länken, Oscar. Det löste mitt problem helt. Jag kan inte tro det, ett fel i min Debian Stable. Apokalypsen kommer: oP hälsningar.

  6.   Daniel C. sade

    0 rootkits 😀

    Jag tycker att det är roligt att jag får varna en dold mapp skapad av java (/etc/.java).
    lol

  7.   snickare sade

    Bra insats, tack.
    Hälsningar.

  8.   Tretton sade

    Hej Elav. Jag har inte kommenterat här länge, men varje gång jag kan läser jag några av artiklarna.

    Just idag granskade jag säkerhetsproblem och jag kom till den förtjusande <.Linux

    Jag sprang rkhunter och fick några larm:

    /usr/bin/unhide.rb [Varning]
    Varning: Kommandot '/usr/bin/unhide.rb' har ersatts med ett skript: /usr/bin/unhide.rb: Ruby script, ASCII text

    Söker efter passwd-filändringar [Varning]
    Varning: Användaren 'postfix' har lagts till i passwd-filen.

    Söker efter gruppfiländringar [Varning]
    Varning: Grupp 'postfix' har lagts till i gruppfilen.
    Varning: Grupp 'postdrop' har lagts till i gruppfilen.

    Letar efter dolda filer och kataloger [Varning]
    Varning: Dold katalog hittades: /etc/.java
    Varning: Dold katalog hittades: /dev/.udev
    Varning: Dold fil hittad: /dev/.initramfs: symbolisk länk till `/ run / initramfs '
    Varning: Dold fil hittad: /usr/bin/android-sdk-linux/extras/android/support/v7/gridlayout/src/.readme: ASCII text
    Varning: Dold fil hittad: /usr/bin/android-sdk-linux/extras/android/support/v7/gridlayout/.classpath: XML document text
    Varning: Dold fil hittad: /usr/bin/android-sdk-linux/extras/android/support/v7/gridlayout/.project: XML-dokumenttext

    Hur ska jag tolka dem och vad ska jag göra för att lösa dessa varningar?
    Obs: Jag ser att den sista har att göra med sdk-android, som jag nyligen installerade för att testa en applikation (kan vi ta bort rootkitsidan och fortsätta använda den eller är det bättre att göra utan den?).

    Hälsningar och jag upprepar mina gratulationer till KZKG ^ Gaara, till dig och till alla andra medarbetare (jag ser att laget har vuxit).

  9.   cmtl22 sade

    Ursäkta mig installera men när jag kör det här kommandot får jag det här

    kommando:
    rkhunter -c

    fel:
    Ogiltigt BINDIR-konfigurationsalternativ: Ogiltig katalog hittades: JAVA_HOME = / usr / lib / jvm / java-7-oracle

    Och jag skannar ingenting, det förblir bara så här och inget annat jag kan göra eller hur löser jag det? Tack ???

  10.   äta vitt sade

    hej jag fick det här resultatet, kan du hjälpa mig ... tack

    Kontrollerar nätverket ...

    Utföra kontroller av nätverksportarna
    Söker efter bakdörrportar [Inga hittade]
    Letar efter dolda portar [hoppades över]

    Utföra kontroller av nätverksgränssnitten
    Letar efter promiskuösa gränssnitt [Inga hittades]

    Kontrollerar den lokala värden ...

    Utföra systemstartkontroller
    Letar efter lokalt värdnamn [Found]
    Söker efter systemstartfiler [Hittade]
    Kontrollerar systemstartfiler för skadlig kod [Ingen hittades]

    Utföra grupp- och kontokontroller
    Letar efter passwd-fil [hittades]
    Kontrollerar om root-ekvivalenta (UID 0) -konton [Inga hittades]
    Söker efter lösenfria konton [Inga hittade]
    Söker efter passwd-filändringar [Varning]
    Söker efter gruppfiländringar [Varning]
    Kontrollerar root-konto skalhistorikfiler [Inga hittades]

    Utföra systemkonfigurationsfilkontroller
    Söker efter SSH-konfigurationsfil [hittades inte]
    Kontrollerar om syslog-demonen körs [hittades]
    Söker efter syslog-konfigurationsfil [hittades]
    Kontrollerar om syslog fjärrloggning är tillåten [Ej tillåtet]

    Utföra filsystemkontroller
    Kontrollerar / utvecklar misstänkta filtyper [Varning]
    Letar efter dolda filer och kataloger [Varning]