Борба с корен (корен) в ГНУ

Добър ден, скъпи приятели, познати, читатели, почитатели и други личности.

Борба с корен (корен) в ГНУ

Ако се вгледате в заглавието, нещо, което наистина се откроява в първата част на заглавието на думата корен. - корен. което ясно показва, че думата произлиза от Unix свят -Computer. Кой е коренът на GNU / Linux, ние сме описано тук.

Намиране и премахване на руткит в Linux [Rkhunter]

Съществуват няколко инструмента сканира за руткит, които помагат да се противопоставят на известни или потенциални руткитове за GNU / Linux. Един такъв инструмент е RootkitHunter съкращение rkhunter. Тя е много лесна за използване програма, която проверява компютрите с Unix (GNU / Linux) за руткитове. Той е на разположение във всички GNU / Linux.

Rkhunter със сигурност не е инсталиран по подразбиране, но е наличен в хранилищата. Ако изведнъж, по някаква причина не е там, а след това винаги може да се намери и изтегли от официалния сайт на производителя. Rkhunter десктоп среда не притежава, така че всички ще извърши сам. терминал и непременно като корен (Sudo - корен заместване). Можете да направите това от потребители на Linux, така че никой не се страхува от командния ред :).

Така че, за да започнете да използвате този инструмент, ние ще го инсталирате:

Единственото нещо, което rkhunter не мога да направя - това се изтрива руткитове. Но това е по-скоро плюс, отколкото минус, защото инструментът не е съвършен (между другото, и не всички антивирусни програми са идеални). и дори може да бъдат объркани и лъжливо задейства. Всички проверки, написани на файл / Var / дневник / rkhunter / rkhunter .log. За какво да се прави, ако все още rkhunter посочи говорим малко по-ниско за подозрителни файлове. В същото време, ние се обръщаме към работата си.

Първото нещо, което да направите, след инсталиране на помощната програма - трябва да го актуализира и се уверете, че имаме текущата версия (текущата версия днес - 1.4.2):
Sudo rkhunter --update (две тирета преди изисква актуализацията)
rkhunter --versioncheck

Борба с корен (корен) в ГНУ

И вторият - След като актуализираме базата данни, а след това се промени конфигурацията на полезност файл, (файл с конфигурация намира в / и т.н. /rkhunter.conf) и ние трябва да се каже (шоу) програма, тези промени са направени до конфигурационния файл, така че трябва да направите снимка ( мухъл, да го наречем, което ви харесва) команда:
rkhunter --propupd
Тя е в най-добрия си интерес да има полезността по-малко фалшиво огън.

Борба с корен (корен) в ГНУ

Можете да видите сами как хешове изпълними системните файлове са различни или не, различни от познатите стойности, съдържащи се в базата данни. На друг той се нарича - валидиране на подписи за всички инсталирани пакети.

Проверих го по този начин:

За RPM базирани дистрибуции на екипа:

За Debian, но тези дистрибуции debsums програма. По подразбиране, тази програма не е инсталирана на системата, е необходимо да се установи:

ап-да инсталирате debsums

Каквато и да е система, която не е настроен продукцията ще бъде около един и същ:

Борба с корен (корен) в ГНУ

(Ако всичко се казва "OK", а след това не се появят някакви промени в файловете).

Е, ние сме малко разсеян. След инсталацията, да извършите търсене за руткит (въпреки че е налице висока степен на вероятност, че ние сме тези руткитове просто няма да намерите, поради причината, че те просто няма да бъде на вашата система)
Sudo rkhunter -с или
Sudo rkhunter --check или
Sudo rkhunter -C --enable всички --disable никой

Борба с корен (корен) в ГНУ

Тестване ще се проведе в няколко етапа при съобщения за грешки във всяка точка на теста. Можете просто да натиснете клавиша, за да продължите.

Борба с корен (корен) в ГНУ

И в крайна сметка ще покаже общия списък - тестване на информация.

Борба с корен (корен) в ГНУ

Ако не искате визуално да следи напредъка на теста, можете да започнете с ключ rkhunter -rwo, предупреждения ще бъдат показани само в този случай:
rkhunter -C --enable всички --disable никой --rwo

Борба с корен (корен) в ГНУ

Когато сканирането приключи, rkhunter съхранява резултата в /var/log/rkhunter/rkhunter.log
Можете да показва предупреждение се издава, както следва.
Sudo Впиши Предупреждение /var/log/rkhunter/rkhunter.log
Ако сте след въвеждането на тази команда, можете да го видите ..

Борба с корен (корен) в ГНУ

Сега обратно на това, което трябва да се направи, ако rkhunter съобщава присъствието на руткит или показва никакво предупреждение. На първо място, трябва да се провери дали тя е фалшива тревога или не.

Сигнали могат да се задействат само от факта, че сте актуализирали софтуера, или актуализиране на системата като цяло, което води до системни настройки се променят. Затова тече rkhunter --propupd преди сканиране винаги е желателно. На второ място, ние трябва да помним, че сте инсталирали на "подземния свят" в системата.

Например, може да реагира с определен принтера или MFP. В края на краищата, че вече сте настроили в допълнение. Например, един пример за неверни положителни резултати (последните 2 реда, показват, че след инсталиране на системата в дома си директория са били скрити директории, че системата не трябва да бъде, и тя е била инсталирана MFP):

Борба с корен (корен) в ГНУ

Просто трябва да се разгледа подробно всеки път (файл), към която rkhunter "кълне". Ако нещо причинява силно съмнение имате, трябва да се сравни оригиналните файлове с тези, които са упоменати rkhunter. Това е дълъг и труден процес. Тя поставя на виртуалната машина, в която са чист ос и отваряне последователно с файлове чисти оси ги сравняват с тези, които са под въпрос. За пореден път, че 99% е фалшива тревога.

Е, ако сте се отказа от 1%, а вие сте напълно уверени, че руткит в системата е седнал, можете да направите следното:

Определете коя програма се прилага файла, който трябва rkhunter и повторно инсталиране на програмата

Но ако руткит заби в ядрото на системата, не се опитвайте да го извадите от там, ако не сте експерт по сигурността, който е в състояние да изчисли всички механизма на вектор на атака и пътя на проникване на даден корен. В този случай, най-добро решение би било:

Изключване на компютъра от мрежата, прехвърлянето на всички ценните си данни с тази система и пълна преинсталация (просто не правете резервни копия на изпълними файлове, защото не знаеш и не може да се провери с сто процента гаранция, че те са чисти).

С две думи, нещо такова ..

Е, какво друго мога да кажа в заключение ..

    • да поставите текста трябва да натиснете аз, а след това можете да въвеждате текст
    • за отстраняване на характера (и) да натиснете ESC, и след това въведете х
    • да се откажат от VI, без да запазвате необходимостта да натиснете ESC, и след това въведете: р!
    • за да запаметите и да излезете да натиснете ESC, и след това въведете: Welfare-Quality

И сега ние сме сигурни, че имаме работа с Cron. Въведете следната команда:
кронтаб -l

за работа Cron създаден.

послеслов

Това може да се сложи край, което означава, че по тази актуална тема днес завърши нашата история.

Остани с проекта, винаги сте добре дошли тук;)

PS: За съществуването на тази статия, благодарение на член на екипа Pantera

Здравейте на всички.
Галина. на моя Ubuntu 14.04. боклук ходове :(
след като отборът --sudo ап-да инсталирате rkhunter-- компютър. карали и каза:
Е: Dpkg е била прекъсната, трябва да започнете ръчно «Sudo Dpkg --configure -а» за решаване на проблема.
Направих го. (Linux приятелски система :)) след това е бил помолен да изпълни
Екипът --sudo ап-да инсталирате rkhunter -
и в края на краищата това е, което се случва:
Е: не може да се получи достъп до файл за заключване / Var / кеш / ап / архивите / заключване - отворен (11: Resource временно недостъпна)
E: Не може да се заключва директорията / Var / кеш / ап / архиви /

свойства на файловете проверки.
Файлове проверени: 135
Съмнителни файлове: 1

проверки Корен.
Rootkits проверени. 292
Възможни руткитове: 0

Приложения проверки.
Заявленията се проверяват: 2
Съмнителни приложения: 0

Системата проверява взеха: 3 минути и 17 секунди

Всички резултати са написани на лог файл: /var/log/rkhunter.log

Един или повече предупреждения са били открити при проверка на системата.
Моля, проверете лог файла (/var/log/rkhunter.log)
Не знам. добро или лошо :)

Поздрави. Не е актуализирана програма:

Sudo rkhunter --versioncheck
[Корен Hunter версия 1.4.0]
Проверка rkhunter версия.
Тази версия. 1.4.0
Последна версия: 1.4.2
Налице е актуализация

Sudo rkhunter --update
[Корен Hunter версия 1.4.0]

Проверка на файлове с данни rkhunter.
Проверка на файл mirrors.dat [No актуализация]
Проверка на файл programs_bad.dat [No актуализация]
Проверка на файл backdoorports.dat [No актуализация]
Проверка на файл suspscan.dat [No актуализация]
Проверка на файл i18n / CN [No актуализация]
Проверка на файл i18n / де [No актуализация]
Проверка на файл i18n / ен [No актуализация]
Проверка на файл i18n / TR [No актуализация]
Проверка на файл i18n / tr.utf8 [No актуализация]
Проверка на файл i18n / ж [No актуализация]
Проверка на файл i18n / zh.utf8 [No актуализация]

и в резултат остава Rootkit Hunter версия 1.4.0