Защита от руткитов в Ubuntu
Dec. 2nd, 2012 12:35 am![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
oio11Защита от руткитов в Ubuntu
Установка и использование rkhunter
Для установки rkhunter выполните следующие шаги:
1. Снова откройте окно терминала, выбрав Applications > Accessories > Terminal.
2. В окне терминала введите следующую команду: sudo aptitude install rkhunter
3. При получении сообщения с информацией о необходимом для установки приложения количестве дискового пространства введите Y, чтобы начать установку.
После успешной установки программы rkhunter вы можете запустить ее для проверки компьютера на наличие ряда вредоносных программных средств. Для запуска программы наберите в окне терминала следующую команду: sudo rkhunter --check
Если программа rkhunter выполняется правильно, вы увидите список директорий со статусом OK или Warning. После запуска программа rkhunter выполняет несколько типов проверок. По завершении одной проверки можно перейти к следующей, нажав клавишу Enter. Программа rkhunter проверяет следующие объекты:
* Директории
* Наличие руткитов на рабочей станции (пример результатов проверки изображен на рисунке 3)
* Порты, наиболее часто используемые для лазеек типа back door
* Файлы загрузки, учетные записи и группы, системные конфигурационные файлы и файловую систему
* Приложения
После выполнения всех проверок rkhunter выводит отчет и создает журнал, содержащий результаты проверок.
Рисунок 3. Поиск руткитов с помощью rkhunter
Поиск руткитов с помощью rkhunter
Так же, как и ClamAV, программу rkhunter необходимо регулярно обновлять, чтобы она могла обнаруживать новые уязвимости и вредоносные средства:
1. В окне терминала выполните следующую команду: sudo rkhunter --update
2. При получении приглашения введите пароль.
Установка и использование chkrootkit
Хотя в большинстве случаев антивирусные программы от разных производителей не умеют корректно работать вместе, утилиты по отлову руткитов хорошо работают в связке, дополняя друг друга. Таким образом, для более полной защиты вы можете установить программу chkrootkit и использовать ее в дополнение к программе rkhunter.
Для установки chkroot просто откройте окно терминала и выполните команду sudo aptitude install chkrootkit
Когда программа chkroot будет установлена, вы можете запускать ее точно также, как и программу rkhunter. Для этого в окне терминала наберите следующую команду: sudo chkrootkit
Когда chkroot завершит проверку, вы вернетесь назад в строку терминала.
Если программа rkhunter или chkroot обнаружит что-то подозрительное в вашей системе, она просто проинформирует вас о возможной проблеме. Ни одна из этих программ не удаляет файлы с вашего компьютера. Если вы получили какое-либо предупреждение от одной из этих программ, изучите проблему, о которой сообщается, и убедитесь в том, что ее обнаружение не является ошибкой. После этого выполните необходимые действия для устранения угрозы. Иногда вам всего лишь необходимо обновить операционную систему или другое программное обеспечение. В других случаях вам нужно будет отыскать вредоносную программу и удалить ее из системы. .
http://www.habrahabr.kz/blog/5.html
- 1 Установка rkhunter
- 2 Настройка rkhunter
- 3 Проверка с помощью rkhunter
- 4 Добавление rkhunter в cron
- 5 Warnings! Ошибки, выдаваемые rkhunter
http://wikiadmin.net/Rkhunter
Проверка системы на rootkit ‘руткиты’
Есть хороший пакет chkrootkit который предназначен для поиска враждебного кода (rootkit) и иных подозрительных событий в системе. Рекомендую проверять систему периодически для пущего спокойствия или например, при подозрениях, что кто-то шарится по твоему серверу.Из описания на Debian — Подробная информация о пакете chkrootkit в lenny
chkrootkit — это сканер безопасности, который ищет в локальной системе признаки, указывающие на наличие ‘руткита’. Руткит — это набор программ, позволяющих полностью управлять чужим компьютером через известные уязвимости.
Типы определяемых руткитов перечислены на домашней странице проекта.
Заметим, данная проверка не даёт полной гарантии, что компьютер не был взломан. В дополнение к chkrootkit используйте другие проверки.
Ставиться он довольно просто, есть в репозиториях Ubuntu/Debian:
$ aptitude install chkrootkit
Для использования утилиты требуются полномочия root и простейший способ проверки:
$ chkrootkit
Для выбора отдельных тестов вы можете воспользоваться параметрами командной строки:
$ chkrootkit [опции] [<имя теста>...]
Опции и описание
-h Выводит справочную информацию о работе с программой.
-V Выводит сведения о номере версии программы и завершает работу.
-l Показывает список поддерживаемых программой проверок.
-d Задает вывод подробной информации о работе программы (режим отладки).
-q Задает минимальный вывод информации.
-x Задает вывод дополнительной информации.
-r <каталог> Задает имя каталога для использования в качестве корневого (root). Указанный в команде каталог служит стартовой точкой для просмотра дерева каталогов.
-p dir1:dir2:dirN Указывает пути к внешним программам, используемым chkrootkit.
-n Отключает просмотр смонтированных каталогов NFS.
Сообщения программы
Ниже перечислены префиксы, используемые программой chkrootkit (за исключением случаев использования с опциями -x или -q) при выводе отчета о проверке:
INFECTED — проверка показала, что данная программа может относиться к известным образцам враждебного кода (rootkit);
not infected – проверка показала отсутствие сигнатур известных rootkit;
not tested – тест не был выполнен по одной из перечисленных ниже причин:
неприменимость проверки для данной ОС; отсутствие возможности использования требуемой для теста внешней программы; заданы опции командной строки, отключающие эту проверку (например, -r).
not found – программа не была найдена и по этой причине не проверялась;
Vulnerable but disabled – программа заражена, но не используется (не работала в момент проверки или “закомментирована” в inetd.conf).
И еще эту программу не рекомендуется держать постоянно на компьютере. Желательно удалять программу после проверки системы. По словам разработчиков, эту программу можно при желании использовать и во вред.
$ dpkg -r chkrootkit
(Reading database ... 47160 files and directories currently installed.)
Removing chkrootkit ...
