Главная > В помощь sysadmin'y, Пакеты Debian > Проверка системы на rootkit ‘руткиты’

Проверка системы на rootkit ‘руткиты’

Есть хороший пакет chkrootkit который предназначен для поиска враждебного кода (rootkit) и иных подозрительных событий в системе. Рекомендую проверять систему периодически для пущего спокойствия или например, при подозрениях, что кто-то шарится по твоему серверу.

Из описания на Debian — Подробная информация о пакете chkrootkit в lenny
chkrootkit — это сканер безопасности, который ищет в локальной системе признаки, указывающие на наличие ‘руткита’. Руткит — это набор программ, позволяющих полностью управлять чужим компьютером через известные уязвимости.
Типы определяемых руткитов перечислены на домашней странице проекта.
Заметим, данная проверка не даёт полной гарантии, что компьютер не был взломан. В дополнение к chkrootkit используйте другие проверки.

Ставиться он довольно просто, есть в репозиториях Ubuntu/Debian:
$ aptitude install chkrootkit
Для использования утилиты требуются полномочия root и простейший способ проверки:
$ chkrootkit
Для выбора отдельных тестов вы можете воспользоваться параметрами командной строки:
$ chkrootkit [опции] [<имя теста>...]
Опции и описание
-h Выводит справочную информацию о работе с программой.
-V Выводит сведения о номере версии программы и завершает работу.
-l Показывает список поддерживаемых программой проверок.
-d Задает вывод подробной информации о работе программы (режим отладки).

-q Задает минимальный вывод информации.
-x Задает вывод дополнительной информации.
-r <каталог> Задает имя каталога для использования в качестве корневого (root). Указанный в команде каталог служит стартовой точкой для просмотра дерева каталогов.
-p dir1:dir2:dirN Указывает пути к внешним программам, используемым chkrootkit.
-n Отключает просмотр смонтированных каталогов NFS.

Сообщения программы
Ниже перечислены префиксы, используемые программой chkrootkit (за исключением случаев использования с опциями -x или -q) при выводе отчета о проверке:

INFECTED — проверка показала, что данная программа может относиться к известным образцам враждебного кода (rootkit);
not infected – проверка показала отсутствие сигнатур известных rootkit;
not tested – тест не был выполнен по одной из перечисленных ниже причин:
неприменимость проверки для данной ОС; отсутствие возможности использования требуемой для теста внешней программы; заданы опции командной строки, отключающие эту проверку (например, -r).
not found – программа не была найдена и по этой причине не проверялась;
Vulnerable but disabled – программа заражена, но не используется (не работала в момент проверки или “закомментирована” в inetd.conf).

Для более детальной информации предлогаю обратиться или на сайт разработчиков или в gooole.

И еще эту программу не рекомендуется держать постоянно на компьютере. Желательно удалять программу после проверки системы. По словам разработчиков, эту программу можно при желании использовать и во вред.
$ dpkg -r chkrootkit
(Reading database ... 47160 files and directories currently installed.)
Removing chkrootkit ...

Читаем еще:

Необходимо войти на сайт, чтобы написать комментарий.