Установка и использование Chkrootkit на Centos/Debian

1.Установка chkrootkit

 

Centos

Просмотр списка файлов установленных пакетом

 

Debian

Просмотр списка файлов установленных пакетом

 

Установка из исходников

wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz

Собираем модули

Запуск shell-скрипта

 

2.Использование chkrootkit

 

Опции утилиты chkrotkit

– просмотр справки

– просмотр версии

– просмотр списка тестов/проверок, которые поддерживает программа

– выполнение заданного типа проверки(chkrootkit aliens sniffer)

– включение режима отладки

– «тихий режим»- минимальный вывод информации. Выводятся только сообщения о найденных инфицированных файлах.

– расширенный режим – вывод каждого действия, проводимого в отношении каждого исследуемого файла

— определение каталога, который будет использоваться в качестве корневого(root)

– пропуск проверок на NFS-разделах

– пути для внешних программ, используемых chkrootkit

 

Программа имеет несколько модулей, для поиска руткитов и других небезопасных объектов:

— проверка системы.

— обнаружение режима захвата пакетов.

— обнаружение факта удаления записей из файла lastlog.

— то же, из файла wtmp.

— обнаружение троянский следов (LKM).

— поиск и замена текстовых строк.

 

В ходе работы chkrootkit отправляет следующие уведомления:

— даная программа может относиться к известным образцам враждебного кода (rootkit)

— отсутствие сигнатур известных руткитов

— тест не выполнен по одной из указанных причин
— неприменимость проверки для даной ОС
— отсутствие возможности использования внешней программы
— заданы опции коммандной строки, отключающие эту проверку

— программа не найдена, поэтому не проверялась

— программа заражена, но на момент проверки не используется (не запущена)

По умолчанию происходит полная проверка системы по всем доступным тестам, список которых можно получить, выполнив скрипт с ключом “-l”

Chrootkit не делает снимок текущих файлов и не сохраняет в своей базе, как тот же rkunter

 

Проверка наличия rootkit-ов на сервере

 

Для регулярной проверки системы, можно добавить выполнение сканирования chkrootkit в планировщик под пользователем root

 

 

Использование параметра командной строки -q также возможно, но в этом случае могут быть отброшены сообщения о подозрительных объектах,

 

Источники:

http://muff.kiev.ua/content/chkrootkit-poisk-v-sisteme-rootkit-i-backdoor

http://linux-notes.org/poisk-rutkitov-v-debian-ubuntu-linux-mint-i-red-hat-centos-fedora/

http://habrahabr.ru/company/first/blog/243487/

 

Комментирование и размещение ссылок запрещено.

Комментарии закрыты.

Яндекс.Метрика