Просмотр полной версии : Rootkit'ы и их обнаружение
Весёлый Молочник
04.02.2009, 23:00
Собственно заинтересовался на досуге.
Вот что нашёл.
3 утиллиты в репозитории убунты которые ищут и детектируют руткиты (неизвестно хорошо ли).
chkrootkit - вроде как самый крутой.
rkhunter - тоже не плохой. (мне он больше понравился)
unhide - порты и процессы скрытые видит.
В продолжение темы:
rkhunter имеет некоторые преимущества: а) обновляемая база известных руткитов; б) делает, условно говоря, "снимок" системных файлов. При изменении хэша, inode, размера, времени модификации генерирует сообщение.
В Debian chkrootkit и rkhunter при установке конфигурируются на ежедневный запуск + еженедельное обновление.
Весёлый Молочник
05.02.2009, 00:52
rkhunter - когда он делает снимок системных файлов? Вдруг у меня руткит появился до установки rkhunter - и в его снимке файл изменённый будет якобы нормальным?
То есть rkhunter надо ставить сразу после установки системы для надёжности?
То есть rkhunter надо ставить сразу после установки системы для надёжности?
Именно так.
rkhunter --list покажет все доступные тесты
rkhunter --enable hashes проверит хеши файлов в /bin, /usr/bin, /sbin, /usr/sbin
У меня вчера или позавчера обновился sudo - теперь rkhunter его подозревает: Suspect file
Весёлый Молочник
05.02.2009, 11:25
Вот вот, у меня тоже подозревает нормальные файлы.
Если есть уверенность, что файлы нормальные, обновите "снимок" файлов:
rkhunter --propupd
и снова прогоните тест. Предупреждения не появятся.
Весёлый Молочник
05.02.2009, 13:50
Это программа актуальна в первую очередь для серверов, где новые программы не появляются не то что каждый день, а то и год.
FBT4P4DP9
05.03.2009, 18:13
Извиняюсь за offtop.
Вы тот Весёлый Молочник, который победил на конкурсе лучший вирус для *nix (http://kernel.kz/archives/88)?
Весёлый Молочник
05.03.2009, 19:29
Тот.
А вы кто? Ник какой то мягко говоря странный. =)
FBT4P4DP9
05.03.2009, 19:42
Да вот, вспомнил что был "Конкурс на лучший скриптовый вирус для UNIX" (http://www.linux.org.ru/view-message.jsp?msgid=3031777#3031890), а результаты забыл посмотреть :-).
Просмотрев ibash.org.ru, наткнулся на цитату и вспомнил про конкурс:
Re: Конкурс на лучший скриптовый вирус для UNIX
Ну линуксоиды, вообще блин охренели. В то время как прогрессивное человечество из последних сил спасается от вирусов, они понимаешь ли сидят и конкурсы по их написанию себе организовывают.
(c) lor
vBulletin® v3.6.3, Copyright ©2000-2024, Якутск-Online. Перевод: zCarot