 |
Rootkit'ы и их обнаружение |
 |
04.02.2009, 23:00
|
#1
|
|
Нарушитель правил поведения на форуме
Весёлый Молочник вне форума
Регистрация: 06.10.2006
Адрес: Якутск
Сообщений: 5,530
|
Rootkit'ы и их обнаружение
Собственно заинтересовался на досуге.
Вот что нашёл.
3 утиллиты в репозитории убунты которые ищут и детектируют руткиты (неизвестно хорошо ли).
chkrootkit - вроде как самый крутой.
rkhunter - тоже не плохой. (мне он больше понравился)
unhide - порты и процессы скрытые видит.
Последний раз редактировалось Весёлый Молочник, 04.02.2009 в 23:02.
|
|
|
|
|
04.02.2009, 23:39
|
#2
|
|
Постоялец
lsmod вне форума
Регистрация: 18.12.2007
Сообщений: 1,239
|
В продолжение темы:
rkhunter имеет некоторые преимущества: а) обновляемая база известных руткитов; б) делает, условно говоря, "снимок" системных файлов. При изменении хэша, inode, размера, времени модификации генерирует сообщение.
В Debian chkrootkit и rkhunter при установке конфигурируются на ежедневный запуск + еженедельное обновление.
|
|
|
|
|
05.02.2009, 00:52
|
#3
|
|
Нарушитель правил поведения на форуме
Весёлый Молочник вне форума
Регистрация: 06.10.2006
Адрес: Якутск
Сообщений: 5,530
|
rkhunter - когда он делает снимок системных файлов? Вдруг у меня руткит появился до установки rkhunter - и в его снимке файл изменённый будет якобы нормальным?
То есть rkhunter надо ставить сразу после установки системы для надёжности?
|
|
|
|
|
05.02.2009, 01:17
|
#4
|
|
Постоялец
lsmod вне форума
Регистрация: 18.12.2007
Сообщений: 1,239
|
Цитата:
Сообщение от Весёлый Молочник
То есть rkhunter надо ставить сразу после установки системы для надёжности?
|
Именно так.
rkhunter --list покажет все доступные тесты
rkhunter --enable hashes проверит хеши файлов в /bin, /usr/bin, /sbin, /usr/sbin
У меня вчера или позавчера обновился sudo - теперь rkhunter его подозревает: Suspect file |
|
|
|
|
05.02.2009, 11:25
|
#5
|
|
Нарушитель правил поведения на форуме
Весёлый Молочник вне форума
Регистрация: 06.10.2006
Адрес: Якутск
Сообщений: 5,530
|
Вот вот, у меня тоже подозревает нормальные файлы.
|
|
|
|
|
05.02.2009, 11:49
|
#6
|
|
Постоялец
lsmod вне форума
Регистрация: 18.12.2007
Сообщений: 1,239
|
Если есть уверенность, что файлы нормальные, обновите "снимок" файлов:
rkhunter --propupd
и снова прогоните тест. Предупреждения не появятся.
|
|
|
|
|
05.02.2009, 13:50
|
#7
|
|
Нарушитель правил поведения на форуме
Весёлый Молочник вне форума
Регистрация: 06.10.2006
Адрес: Якутск
Сообщений: 5,530
|
Это программа актуальна в первую очередь для серверов, где новые программы не появляются не то что каждый день, а то и год.
|
|
|
|
|
05.03.2009, 18:13
|
#8
|
|
Новичок
FBT4P4DP9 вне форума
Регистрация: 05.03.2009
Сообщений: 4
|
Извиняюсь за offtop.
Вы тот Весёлый Молочник, который победил на конкурсе лучший вирус для *nix? |
|
|
|
|
05.03.2009, 19:29
|
#9
|
|
Нарушитель правил поведения на форуме
Весёлый Молочник вне форума
Регистрация: 06.10.2006
Адрес: Якутск
Сообщений: 5,530
|
Тот.
А вы кто? Ник какой то мягко говоря странный.  |
|
|
|
|
05.03.2009, 19:42
|
#10
|
|
Новичок
FBT4P4DP9 вне форума
Регистрация: 05.03.2009
Сообщений: 4
|
Да вот, вспомнил что был "Конкурс на лучший скриптовый вирус для UNIX", а результаты забыл посмотреть :-).
Просмотрев ibash.org.ru, наткнулся на цитату и вспомнил про конкурс:
Цитата:
Re: Конкурс на лучший скриптовый вирус для UNIX
Ну линуксоиды, вообще блин охренели. В то время как прогрессивное человечество из последних сил спасается от вирусов, они понимаешь ли сидят и конкурсы по их написанию себе организовывают.
(c) lor
|
|
|
|
|
| Опции темы |
|
|
| Опции просмотра |
 Линейный вид
|
Ваши права в разделе
|
Вы не можете создавать темы
Вы не можете отвечать на сообщения
Вы не можете прикреплять файлы
Вы не можете редактировать сообщения
HTML код Выкл.
|
|
|
|
Часовой пояс GMT +9, время: 14:25. |
|
|
