пятница, 12 января 2007 г.

Как проверить Linux на наличие руткитов.

Сегодня я хочу рассказать о двух программах - chrootkit и rkhunter, с помощью которых можно легко проверить Linux на наличие руткитов. Под термином руткит (англ. root kit) понимается набор утилит, которые злоумышленник устанавливает на взломанном им компьютере после получения первоначального доступа. Этот набор, как правило, включает в себя разнообразные утилиты для получения прав суперпользователя root (отсюда и название), для «заметания следов» вторжения в систему, хакерский инструментарий (сниферы, сканеры) и троянские программы, замещающие основные утилиты UNIX. Rootkit позволяет хакеру закрепиться во взломанной системе и скрыть следы своей деятельности. (подробней в wikipedia).

chrootkit

Загружаем программу здесь. Или, если удобней:

wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz

Распаковываем, компилируем и запускаем:

tar xvfz chkrootkit.tar.gz
cd chkrootkit-0.47
make sense

chmod 755 chkrootkit

sudo ./chkrootkit

Пользователи Debian могут установить так:

sudo apt-get install chkrootkit

После проверки Вы должны увидеть следующую запись:

chkutmp: nothing deleted

Для всех проверяемых пунктов должно быть 'not found' или 'not infected'.

Можно автоматизировать проверку через cron, а результат получать на мыло. Но как пишут знающие люди, после проверки программу желательно удалить, чтобы пробравшийся злоумышленник не подозревал о ее существовании на Вашем компьютере. Здесь выбор за Вами.

rkhunter

Загружаем со страницы разработчкика:

wget http://downloads.rootkit.nl/rkhunter-1.2.7.tar.gz

Распаковываем и устанавливаем:

tar xvfz rkhunter-1.2.7.tar.gz
cd rkhunter
sudo ./installer.sh

Пользователи Debian и Ubuntu могут поставить привычным им способом:

sudo apt-get install rkhunter


После установки нужно запустить следующее:

sudo rkhunter --update

чтобы обновить базу данных руткитов/троянов/червей.
Для проверки системы на наличие или отсутствие этих "товарищей" запускаем:

sudo rkhunter -с

В конце вы должны получить отчет:

---------------------------- Scan results ----------------------------

MD5 scan
Scanned files: 0
Incorrect MD5 checksums: 0

File scan
Scanned files: 342
Possible infected files: 0

Application scan
Vulnerable applications: 0

Scanning took 188 seconds

-----------------------------------------------------------------------

Надеюсь, на Вашем компьютере вы увидите аналогичные нолики.

10 коммент.:

Roman Lagunov комментирует...

Вы пишите:

Под термином руткит (англ. root kit) понимается набор утилит, которые хакер устанавливает на взломанном им компьютере после получения первоначального доступа.

А теперь читаем статью в википедии, на которую вы же привели ссылку:

Неправильное употребление: Злоумышленник, старающийся откапывать деликатную информацию, суя нос не в своё дело. Отсюда хакер паролей, сетевой хакер (хакер сети). Правильный термин для этого значения — «взломщик» (англ. cracker — крэкер, крякер).

От себя добавлю, что еще применяется термин "script kiddies"

И смотрим на списко величайших хакеров, из той же статьи в википедиа. Что же мы видим?

Самый главный хакер - Линукс Торвальдс.

Наверное, он много компьютерных систем взломал, раз он на первом месте?

serhiy cherevko комментирует...

Сначала не понял какие ссылки Вы имеете ввиду и где Вы все это вычитали. Потом разобрался. При копировании текста с Wikipedia оно проставило гиперссылки на такие слова как хакер, сниферы и т.д.
Признаться честно, я делал ссылку лишь на одну статью. После Вашего комментария я все подправил. Теперь только одна ссылка.

Самый главный хакер - Линукс Торвальдс - я не знаю кто это написал.

Roman Lagunov комментирует...

Я просто пытался дать вам понять, что не стоит употреблять слово "хакер".

Почему? Потому что многие разрабочики linux и foss-программ считают себя именно хакерами.

А привычка называть "злоумышленников" и script-kiddies хакерами была запущена с "легкой" руки по-моему, Баллмера.

Наверное, что бы дескридетировать разработчиков свободного программного обеспечиния. Да и всю идею opensource тоже.

Так же я довольно долго думал, что называют взломщиков компьютеров "хакерами" пользователи MS Windows, просто по-тому, что не понимают, о чем идет речь.

serhiy cherevko комментирует...

Да я понял. Слово "хакер" было убрано уже после первого комментария.
Хотя я тоже думал что взломщик компьютеров - это хакер. Спасибо что объяснили. Будем знать.

_Andrey_ комментирует...

Важно различать понятия Hacker и Cracker. Превое понятие относится к увлеченным своим делом людям, с огромным кол-вом знаний, и умением эти знания применять на практике. Hacker запросто может стать Cracker, но в силу их менталитета (не мог подобрать более подходящего определения) делать этого не будут.

serhiy cherevko комментирует...

Важно различать понятия Hacker и Cracker. Да. Сейчас я уже различаю, но подавляющее большинство пользователей думают, что это одно и тоже.

Анонимный комментирует...

А каком ещё Линуксе Торвальдсе вы говорите??? Я про такого не слышал

calibra комментирует...

Что то я в поиске я не чего по э той теме не нашел.

Анонимный комментирует...

и правда,кому какое дело?,
кто поэт, а кто неизвесно кто!

Анонимный комментирует...

Проверка на руткиты запускается так:
sudo rkhunter --check