Проверка системы на rootkit ‘руткиты’
Есть хороший пакет chkrootkit который предназначен для поиска враждебного кода (rootkit) и иных подозрительных событий в системе. Рекомендую проверять систему периодически для пущего спокойствия или например, при подозрениях, что кто-то шарится по твоему серверу.
Из описания на
chkrootkit — это сканер безопасности, который ищет в локальной системе признаки, указывающие на наличие ‘руткита’. Руткит — это набор программ, позволяющих полностью управлять чужим компьютером через известные уязвимости.
Типы определяемых руткитов перечислены на .
Заметим, данная проверка не даёт полной гарантии, что компьютер не был взломан. В дополнение к chkrootkit используйте другие проверки.
Ставиться он довольно просто, есть в репозиториях Ubuntu/Debian:
$ aptitude install chkrootkit
Для использования утилиты требуются полномочия root и простейший способ проверки:
$ chkrootkit
Для выбора отдельных тестов вы можете воспользоваться параметрами командной строки:
$ chkrootkit [опции] [<имя теста>...]
Опции и описание
-h Выводит справочную информацию о работе с программой.
-V Выводит сведения о номере версии программы и завершает работу.
-l Показывает список поддерживаемых программой проверок.
-d Задает вывод подробной информации о работе программы (режим отладки).
-q Задает минимальный вывод информации.
-x Задает вывод дополнительной информации.
-r <каталог> Задает имя каталога для использования в качестве корневого (root). Указанный в команде каталог служит стартовой точкой для просмотра дерева каталогов.
-p dir1:dir2:dirN Указывает пути к внешним программам, используемым chkrootkit.
-n Отключает просмотр смонтированных каталогов NFS.
Сообщения программы
Ниже перечислены префиксы, используемые программой chkrootkit (за исключением случаев использования с опциями -x или -q) при выводе отчета о проверке:
INFECTED — проверка показала, что данная программа может относиться к известным образцам враждебного кода (rootkit);
not infected – проверка показала отсутствие сигнатур известных rootkit;
not tested – тест не был выполнен по одной из перечисленных ниже причин:
неприменимость проверки для данной ОС; отсутствие возможности использования требуемой для теста внешней программы; заданы опции командной строки, отключающие эту проверку (например, -r).
not found – программа не была найдена и по этой причине не проверялась;
Vulnerable but disabled – программа заражена, но не используется (не работала в момент проверки или “закомментирована” в inetd.conf).
Для более детальной информации предлогаю обратиться или на сайт разработчиков или в gooole.
И еще эту программу не рекомендуется держать постоянно на компьютере. Желательно удалять программу после проверки системы. По словам разработчиков, эту программу можно при желании использовать и во вред.
$ dpkg -r chkrootkit
(Reading database ... 47160 files and directories currently installed.)
Removing chkrootkit ...
Читаем еще:
- Проверка Linux сервер на предмет взлома
- AWStats анализатор логов для статистики
- FTP сервер на базе vsftpd и MySQL в Debian (Ubuntu)
- Простой скрипт phpsysinfo для мониторинга Linux системы
- Релиз Zabbix 2.0