HPUNIX Сайт о ОС и не только!

Проверка системы на rootkit 'руткиты'

1 июня 2009 - unix
Проверка системы на rootkit  'руткиты'

Есть хороший пакет chkrootkit который предназначен для поиска брутального кода (rootkit) и других подозрительных событий в системе. Рекомендую проверять систему периодически для пущего спокойствия или например, при подозрениях, что кто-то шарится по твоему серверу.

Из описания на Debian — Подробная информация о пакете chkrootkit в lenny
chkrootkit — это сканер безопасности, который ищет в локальной системе признаки, указывающие на наличие ‘руткита’. Руткит — это набор программ, позволяющих полностью управлять чужим компютером через известные уязвимости.
Типы определяемых руткитов перечислены на домашней странице проекта.
Заметим, данная проверка не даёт полной гарантии, что компьютер не был взломан. В дополнение к chkrootkit используйте другие проверки.

Ставиться он довольно просто, есть в репозиториях Ubuntu/Debian:

Что такое руткит и как его удалить?

/>/>

$ aptitude install chkrootkit
Для использования утилиты требуются способности root и обычной способ проверки:
$ chkrootkit

Goofile.py: Search Domains For Specific File Type

/>/>
Проверка системы на rootkit  'руткиты'

Для выбора отдельных тестов вы можете воспользоваться параметрами командной строки:

Проверка системы на rootkit  'руткиты'

$ chkrootkit [функции] [...]
Функции и описание
-h Выводит справочную информацию о работе с программой.
-V Выводит сведения о номере версии программы и завершает работу.
-l Показывает список поддерживаемых программой проверок.
-d Задает вывод подробной инфы о работе программы (режим отладки).

-q Задает малый вывод инфы.
-x Задает вывод дополнительной инфы.

 

-r Задает имя каталога для использования в качестве корневого (root). Обозначенный в команде каталог служит стартовой точкой для просмотра дерева каталогов.
-p dir1:dir2:dirN Указывает пути к внешним программам, используемым chkrootkit.
-n Отключает просмотр смонтированных каталогов NFS.

 

Сообщения программы
Ниже перечислены префиксы, используемые программой chkrootkit (не считая случаев использования с опциями -x или -q) при выводе отчета о проверке:

INFECTED — проверка показала, что данная программа может относиться к известным образцам брутального кода (rootkit);

not infected – проверка показала отсутствие сигнатур известных rootkit;
not tested – тест не был выполнен по одной из перечисленных ниже событий:
неприменимость проверки для данной ОС; отсутствие возможности использования требуемой для теста внешней программы; заданы функции командной строки, отключающие эту проверку (например, -r).

Проверка системы на rootkit  'руткиты'

not found – программа не была найдена и по этой причине не проверялась;
Vulnerable but disabled – программа заражена, но не употребляется (не работала в момент проверки или “закомментирована” в inetd.conf).

 

Для более детализированной инфы предлогаю обратиться или на сайт разработчиков или в gooole.

И еще эту программу не рекомендуется держать постоянно на компьютере. Лучше удалять программу после проверки системы. По словам разработчиков, эту программу можно при желании использовать и во вред.
$ dpkg -r chkrootkit<br /> (Reading database ... 40 семь тыщ 100 шестьдесят files and directories currently installed.)<br /> Removing chkrootkit ...
Читаем еще:

Проверка системы на rootkit  &#39;руткиты&#39;
  • Проверка Linux сервер на предмет взлома
  • AWStats анализатор логов для статистики
  • FTP сервер на базе vsftpd и MySQL в Debian (Ubuntu)
  • Обыденный скрипт phpsysinfo для мониторинга Linux системы
  • Релиз Zabbix 2.0

 

 

Похожие статьи

Рейтинг: +6 Голосов: 232 1836 просмотров
Комментарии (0)

Нет комментариев. Ваш будет первым!

Найти на сайте: параметры поиска

Windows 7

Среда Windows 7 на первых порах кажется весьма непривычной для многих.

Windows 8

Если резюмировать все выступления Microsoft на конференции Build 2013.

Windows XP

Если Windows не может корректно завершить работу, в большинстве случаев это

Windows Vista

Если к вашему компьютеру подключено сразу несколько мониторов, и вы регулярно...