Det första vi behöver veta är vad det är en Rootkit? Så vi lämnar svaret på Wikipedia:
En rootkit är ett program som möjliggör kontinuerlig privilegierad åtkomst till en dator men aktivt håller sin närvaro dold från administratörernas kontroll genom att skada operativsystemets eller andra applikations normala funktion. Termen kommer från en sammanfogning av det engelska ordet "root" som betyder root (traditionellt namn på det privilegierade kontot i Unix-operativsystem) och från det engelska ordet "kit" som betyder uppsättning verktyg (med hänvisning till mjukvarukomponenterna som genomför detta program). Termen "rootkit" har negativa konnotationer eftersom den är associerad med skadlig kod.
Med andra ord är det vanligtvis associerat med skadlig kod, som döljer sig själv och andra program, processer, filer, kataloger, registernycklar och portar som gör det möjligt för inkräktaren att behålla tillgång till ett brett utbud av operativsystem som GNU / Linux, Solaris eller Microsoft Windows för att fjärrstyra åtgärder eller extrahera känslig information.
Tja, en mycket trevlig definition men hur skyddar jag mig? Tja, i det här inlägget kommer jag inte att prata om hur vi kan skydda oss själva, utan om hur man vet om vi har ett Rootkit i vårt operativsystem. Jag lämnar det åt min kollega om skydd 😀
Det första vi gör är att installera paketet rkhunter. I resten av distributionerna antar jag att du vet hur man gör det, i Debian:
$ sudo aptitude install rkhunter
Uppdatera
I filen / etc / default / rkhunter Det definieras att databasuppdateringarna sker varje vecka, att verifieringen av rootkits är dagligen och att resultaten skickas via e-post till systemadministratören (rot).
Men om vi vill vara säkra kan vi uppdatera databasen med följande kommando:
root@server:~# rkhunter --propupd
Hur man använder det?
För att kontrollera att vårt system är fritt från dessa "buggar" kör vi helt enkelt:
$ sudo rkhunter --check
Ansökan kommer att börja utföra en serie kontroller och med tiden kommer den att be oss att trycka på ENTER-knappen för att fortsätta. Alla resultat finns i filen /var/log/rkhunter.log
Det ger mig något tillbaka så här.
Och om "Varningar" hittas, hur elimineras de? =)
I filen /var/log/rkhunter.log ger de dig en förklaring till varför varningen i de allra flesta fall kan ignoreras.
Vänliga hälsningar.
Tack gav mig en sammanfattning något så här, där jag fick varningen
Sammanfattning av systemkontroller
=====================
Kontroll av filegenskaper ...
Kontrollerade filer: 133
Misstänkta filer: 1
Rootkit-kontroller ...
Kontrollerade rootkits: 242
Möjliga rootkits: 0
Applikationskontroller ...
Alla kontroller hoppades över
Systemkontrollerna tog: 1 minut och 46 sekunder
Alla resultat har skrivits till loggfilen (/var/log/rkhunter.log)
Tack för tipset, testat, nollresultat RootKit.
Jag har inte mycket kunskap om bash men för min båge gjorde jag följande etc / cron.dayli / rkhunter
#! / Bin / sh
RKHUNTER = »/ usr / bin / rkhunter»
DATUM = »echo -e '\ n #######################" datum "######################## ## '»
DIR = »/ var / log / rkhunter.daily.log»
$ {DATE} >> $ {DIR}; $ {RKHUNTER} –uppdatering; $ {RKHUNTER} –avräkning - endast rapporter-varningar >> $ {DIR}; exportera DISPLAY =: 0 && meddela-skicka "RKhunter kontrollerad"
Vad det gör är att uppdatera och leta efter rootkits i princip och lämna resultatet i en fil
Testat, 0 RootKit, tack för inmatningen.
Sammanfattning av systemkontroller
=====================
Kontroll av filegenskaper ...
Kontrollerade filer: 131
Misstänkta filer: 0
Rootkit-kontroller ...
Kontrollerade rootkits: 242
Möjliga rootkits: 2
Rootkit-namn: Xzibit Rootkit, Xzibit Rootkit
Xzibit Rootkit ... vad är det här ??? Jag måste ta bort den. Tack på förhand för hjälpen. Hälsningar.
Titta på den här länken: http://www.esdebian.org/foro/46255/posible-rootkit-xzibit-rootkit
möjligen lösningen på ditt problem.
Tack för länken, Oscar. Det löste mitt problem helt. Jag kan inte tro det, ett fel i min Debian Stable. Apokalypsen kommer: oP hälsningar.
0 rootkits 😀
Jag tycker att det är roligt att jag får varna en dold mapp skapad av java (/etc/.java).
lol
Bra insats, tack.
Hälsningar.
Hej Elav. Jag har inte kommenterat här länge, men varje gång jag kan läser jag några av artiklarna.
Just idag granskade jag säkerhetsproblem och jag kom till den förtjusande <.Linux
Jag sprang rkhunter och fick några larm:
/usr/bin/unhide.rb [Varning]
Varning: Kommandot '/usr/bin/unhide.rb' har ersatts med ett skript: /usr/bin/unhide.rb: Ruby script, ASCII text
Söker efter passwd-filändringar [Varning]
Varning: Användaren 'postfix' har lagts till i passwd-filen.
Söker efter gruppfiländringar [Varning]
Varning: Grupp 'postfix' har lagts till i gruppfilen.
Varning: Grupp 'postdrop' har lagts till i gruppfilen.
Letar efter dolda filer och kataloger [Varning]
Varning: Dold katalog hittades: /etc/.java
Varning: Dold katalog hittades: /dev/.udev
Varning: Dold fil hittad: /dev/.initramfs: symbolisk länk till `/ run / initramfs '
Varning: Dold fil hittad: /usr/bin/android-sdk-linux/extras/android/support/v7/gridlayout/src/.readme: ASCII text
Varning: Dold fil hittad: /usr/bin/android-sdk-linux/extras/android/support/v7/gridlayout/.classpath: XML document text
Varning: Dold fil hittad: /usr/bin/android-sdk-linux/extras/android/support/v7/gridlayout/.project: XML-dokumenttext
Hur ska jag tolka dem och vad ska jag göra för att lösa dessa varningar?
Obs: Jag ser att den sista har att göra med sdk-android, som jag nyligen installerade för att testa en applikation (kan vi ta bort rootkitsidan och fortsätta använda den eller är det bättre att göra utan den?).
Hälsningar och jag upprepar mina gratulationer till KZKG ^ Gaara, till dig och till alla andra medarbetare (jag ser att laget har vuxit).
Ursäkta mig installera men när jag kör det här kommandot får jag det här
kommando:
rkhunter -c
fel:
Ogiltigt BINDIR-konfigurationsalternativ: Ogiltig katalog hittades: JAVA_HOME = / usr / lib / jvm / java-7-oracle
Och jag skannar ingenting, det förblir bara så här och inget annat jag kan göra eller hur löser jag det? Tack ???
hej jag fick det här resultatet, kan du hjälpa mig ... tack
Kontrollerar nätverket ...
Utföra kontroller av nätverksportarna
Söker efter bakdörrportar [Inga hittade]
Letar efter dolda portar [hoppades över]
Utföra kontroller av nätverksgränssnitten
Letar efter promiskuösa gränssnitt [Inga hittades]
Kontrollerar den lokala värden ...
Utföra systemstartkontroller
Letar efter lokalt värdnamn [Found]
Söker efter systemstartfiler [Hittade]
Kontrollerar systemstartfiler för skadlig kod [Ingen hittades]
Utföra grupp- och kontokontroller
Letar efter passwd-fil [hittades]
Kontrollerar om root-ekvivalenta (UID 0) -konton [Inga hittades]
Söker efter lösenfria konton [Inga hittade]
Söker efter passwd-filändringar [Varning]
Söker efter gruppfiländringar [Varning]
Kontrollerar root-konto skalhistorikfiler [Inga hittades]
Utföra systemkonfigurationsfilkontroller
Söker efter SSH-konfigurationsfil [hittades inte]
Kontrollerar om syslog-demonen körs [hittades]
Söker efter syslog-konfigurationsfil [hittades]
Kontrollerar om syslog fjärrloggning är tillåten [Ej tillåtet]
Utföra filsystemkontroller
Kontrollerar / utvecklar misstänkta filtyper [Varning]
Letar efter dolda filer och kataloger [Varning]