Ищем руткиты в Ubuntu

Стандартный

руткиты в линуксе

Уже не для многих является секретом тот факт, что Linux – это очень стабильная и безопасная операционная система. Подтверждение тому переход многих компаний и структур на эту “ось”. Как пример могу привести Приват Банк, Fiat, Google, Panasonic, Virgin America, Amazon, Министерство обороны США, Deutsche Bahn, Hundai, BMW, Volvo, PayPal, Singapore Airlines и многие другие. Данный список слишком большой, чтобы его продолжать. Но разговор не о том. С ростом данной системы на нее начали обращать внимание взломщики и хакеры, ища  уязвимости системы. Самыми опасными являются руткиты, меньшую опасность представляют вирусы и трояны. В данной статье я опишу некоторые инструменты для поиска rootkit.

Утилита chkrootkit

Chkrootkit это набор инструментов, которые призваны для поиска руткитов в системе. Она может находить почти все существующие современные руткиты. Система сканирования Chkrotkit постоянно улучшалась, в результате чего увеличивалась скорость сканирования, что очень полезно во время глубоких проверок системы на наличие известных руткитов. Утилита может находить больше 60 устаревших и современных rootkit, умеет определять сетевые интерфейсы в promiscous-режиме (это «неразборчивый» режим, в котором сетевая плата может принимать абсолютно все пакеты, не смотря на то, для кого они были адресованы.), умеет очень эффективно находить измененные файлы lastlog и wtmp (это файлы, сообщающие сисадминам о вторжениях в систему). Chkrootkit – это консольная утилита с понятными параметрами, которая создает подробные результаты исследования системы.



Чтобы установить chkrootkit в систему. нужно выполнить следующую команду в Терминале:

sudo apt-get install chkrootkit

Для запуска утилиты нужно выполнить команду:

sudo chkrootkit

pi@raspberrypi: ~_007

В итоге будет сделан поиск руткитов в системе и выдан список полученного результата. Утилита сама не удаляет найденные подозрительный файлы, поэтому вы должны сами сделать более глубокий анализ, изучив подозрительных клиентов, а потом решить, что с ними делать. Для более гибкого управления chkrootkit рекомендуется применять нужные ключи программы.

Параметры:

-h        Справочная информация о программе

-V        Версия программы

-l        Все поддерживаемые типы проверок

-d        Подробная информация (режим отладки)

-q        Минимальный вывод информации (будет выводится информация только о подозрительных файлах)

-x        Режим эксперта (вывод всех действий программы)

-r        Указать директорию, которая будет использоваться в качестве корневой

Для сохранения подозрительных файлов в текстовый файл нужно выполнить команду:

sudo chkrootkit -q > chkrootkit.txt

В итоге в Домашнем каталоге появится файл chkrootkit.txt, который можно будет проанализировать самому, либо отправить по почте или на специализированный форум. Используя системную утилиту cron можно автоматизировать проверку системы.

Утилита rkhunter

Простая, но эффективная консольная программа для обнаружения rootkits и malware в системе. Утилита также проверяет и выявляет изменения в установленных приложениях, в системных файлах запуска, а также производит разные проверки для утилит и программ, “слушающих” на сетевых интерфейсах сервера. Другими словами – это анти шпион для Linux.

Установим программу командой в Терминале:

sudo apt-get install rkhunter

Теперь обновим базы сигнатур:

sudo rkhunter --update

Теперь можно запустить сканирование:

sudo rkhunter --check

Наберитесь терпения и ждите окончания проверки. Во время сканирования несколько раз вас попросят нажать клавишу Enter. Также можно добавить утилиту в cron и к примеру производить сканирование системы каждый день в 23-00. Добавим задание в crontab. Как добавлять задания в crontab я уже писал в одной из своих статей.

pi@raspberrypi: ~_008

0 23 * * * sudo rkhunter –update; sudo rkhunter –check

Rkhunter, как и chkrootkit, не удаляет найденные угрозы, а просто выдает отчет о сканировании.
В заключении хочу сказать, что мы имеем два неплохих инструмента для безопасности своей системы. Linux не Linux, но как говориться – лучше перебдеть, чем недобдеть. Всем удачи!


3 Comments

  1. Установил.
    Проверил.
    Были какие то Warnings
    А что дальше делать?
    Напишите продолжение статьи про возможные угрозы и как с этим быть.

Leave a Reply

Статьи