Май 6th, 2015 
Evgeniy Kamenev 1.Установка chkrootkit
Centos
|
1 |
# yum install chkrootkit |
Просмотр списка файлов установленных пакетом
|
1 |
# rpm -ql chkrootkit |
Debian
|
1 |
# apt-get install chkrootkit |
Просмотр списка файлов установленных пакетом
|
1 |
# apt-file list chkrootkit |
Установка из исходников
wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
|
1 |
# tar -xzfм chkrootkit.tar.gz |
|
1 |
# cd chkrootkit-* |
Собираем модули
|
1 |
# make sense |
Запуск shell-скрипта
|
1 |
# ./chkrootkit |
2.Использование chkrootkit
Опции утилиты chkrotkit
|
1 |
-h |
– просмотр справки
|
1 |
-V |
– просмотр версии
|
1 |
-l |
– просмотр списка тестов/проверок, которые поддерживает программа
|
1 |
[ тип проверки ] |
– выполнение заданного типа проверки(chkrootkit aliens sniffer)
|
1 |
-d |
– включение режима отладки
|
1 |
-q |
– «тихий режим»- минимальный вывод информации. Выводятся только сообщения о найденных инфицированных файлах.
|
1 |
-x |
– расширенный режим – вывод каждого действия, проводимого в отношении каждого исследуемого файла
|
1 |
-r |
|
1 |
-n |
– пропуск проверок на NFS-разделах
|
1 |
-p dir1:dir2:dirN |
– пути для внешних программ, используемых chkrootkit
Программа имеет несколько модулей, для поиска руткитов и других небезопасных объектов:
|
1 |
chkrootkit |
— проверка системы.
|
1 |
ifpromisc |
— обнаружение режима захвата пакетов.
|
1 |
chklastlog |
— обнаружение факта удаления записей из файла lastlog.
|
1 |
chkwtmp |
— то же, из файла wtmp.
|
1 |
chkproc |
— обнаружение троянский следов (LKM).
|
1 |
strings |
— поиск и замена текстовых строк.
В ходе работы chkrootkit отправляет следующие уведомления:
|
1 |
INFECTED |
— даная программа может относиться к известным образцам враждебного кода (rootkit)
|
1 |
not infected |
— отсутствие сигнатур известных руткитов
|
1 |
not tested |
— тест не выполнен по одной из указанных причин
— неприменимость проверки для даной ОС
— отсутствие возможности использования внешней программы
— заданы опции коммандной строки, отключающие эту проверку
|
1 |
not found |
— программа не найдена, поэтому не проверялась
|
1 |
Vulnerable but disabled |
— программа заражена, но на момент проверки не используется (не запущена)
По умолчанию происходит полная проверка системы по всем доступным тестам, список которых можно получить, выполнив скрипт с ключом “-l”
Chrootkit не делает снимок текущих файлов и не сохраняет в своей базе, как тот же rkunter
Проверка наличия rootkit-ов на сервере
|
1 |
# chkrootkit |
Для регулярной проверки системы, можно добавить выполнение сканирования chkrootkit в планировщик под пользователем root
|
1 |
# crontab –e |
|
1 |
05 2 * * * /usr/sbin/chkrootkit | mail -s "chkrootkit Report : hostname.youserver.com" your@email |
Использование параметра командной строки -q также возможно, но в этом случае могут быть отброшены сообщения о подозрительных объектах,
Источники:
http://muff.kiev.ua/content/chkrootkit-poisk-v-sisteme-rootkit-i-backdoor
http://linux-notes.org/poisk-rutkitov-v-debian-ubuntu-linux-mint-i-red-hat-centos-fedora/
http://habrahabr.ru/company/first/blog/243487/
Опубликовано в рубрике 
Метки: