PDA

Просмотр полной версии : Rootkit'ы и их обнаружение

Весёлый Молочник
04.02.2009, 23:00
Собственно заинтересовался на досуге.
Вот что нашёл.

3 утиллиты в репозитории убунты которые ищут и детектируют руткиты (неизвестно хорошо ли).

chkrootkit - вроде как самый крутой.

rkhunter - тоже не плохой. (мне он больше понравился)

unhide - порты и процессы скрытые видит.
lsmod
04.02.2009, 23:39
В продолжение темы:

rkhunter имеет некоторые преимущества: а) обновляемая база известных руткитов; б) делает, условно говоря, "снимок" системных файлов. При изменении хэша, inode, размера, времени модификации генерирует сообщение.

В Debian chkrootkit и rkhunter при установке конфигурируются на ежедневный запуск + еженедельное обновление.
Весёлый Молочник
05.02.2009, 00:52
rkhunter - когда он делает снимок системных файлов? Вдруг у меня руткит появился до установки rkhunter - и в его снимке файл изменённый будет якобы нормальным?

То есть rkhunter надо ставить сразу после установки системы для надёжности?
lsmod
05.02.2009, 01:17
То есть rkhunter надо ставить сразу после установки системы для надёжности?

Именно так.

rkhunter --list покажет все доступные тесты
rkhunter --enable hashes проверит хеши файлов в /bin, /usr/bin, /sbin, /usr/sbin

У меня вчера или позавчера обновился sudo - теперь rkhunter его подозревает: Suspect file
Весёлый Молочник
05.02.2009, 11:25
Вот вот, у меня тоже подозревает нормальные файлы.
lsmod
05.02.2009, 11:49
Если есть уверенность, что файлы нормальные, обновите "снимок" файлов:

rkhunter --propupd

и снова прогоните тест. Предупреждения не появятся.
Весёлый Молочник
05.02.2009, 13:50
Это программа актуальна в первую очередь для серверов, где новые программы не появляются не то что каждый день, а то и год.
FBT4P4DP9
05.03.2009, 18:13
Извиняюсь за offtop.
Вы тот Весёлый Молочник, который победил на конкурсе лучший вирус для *nix (http://kernel.kz/archives/88)?
Весёлый Молочник
05.03.2009, 19:29
Тот.
А вы кто? Ник какой то мягко говоря странный. =)
FBT4P4DP9
05.03.2009, 19:42
Да вот, вспомнил что был "Конкурс на лучший скриптовый вирус для UNIX" (http://www.linux.org.ru/view-message.jsp?msgid=3031777#3031890), а результаты забыл посмотреть :-).
Просмотрев ibash.org.ru, наткнулся на цитату и вспомнил про конкурс:
Re: Конкурс на лучший скриптовый вирус для UNIX
Ну линуксоиды, вообще блин охренели. В то время как прогрессивное человечество из последних сил спасается от вирусов, они понимаешь ли сидят и конкурсы по их написанию себе организовывают.
(c) lor