середа, 20 лютого 2008 р.

Перевіряємо систему на наявність руткітів

На сьогоднішній день, можна, з досить високою долею ймовірності, вважати, що для Linux проблема вірусів ще не актуальна. Проте для *nix систем може бути актуальною проблема руткітів. Руткіт (rootkit) - це спеціальний модуль ядра або інший софт який зловмисник, отримавши права суперкористувача, може встановити на вашу систему, з певною метою. Наспраді, це можуть бути трояни, сніфери, сканери та ін. Ubuntu має два бар'єри для протидії цій проблемі - файрвол (iptables) та інструмент випереджаючого захисту AppArmor.

Проте постає питання, а як же перевірити систему, чи не прорвався часом хтось через цей захист? Насправді, досить просто, достатньо встановити утиліту chkrootkit:
sudo apt-get install chkrootkit

Далі просто даємо команду chkrootkit і дивимося на результат. Для всіх пунктів повинно бути "not found" або "not infected".

Існує ще одна утиліта для пошуку руткітів - rkhunter. Встановлюється вона аналогічно:
sudo apt-get install rkhunter

Потім оновлюємо базу руткітів:
sudo rkhunter --update

І запускаємо процес сканування:
sudo rkhunter --сheck

Якщо програма напише, що нічого не знайшла, значить можна спати спокійно.

1 коментар:

  1. А що робити якщо rkhunter видає ось таке
    System checks summary
    =====================

    File properties checks...
    Files checked: 127
    Suspect files: 2

    Rootkit checks...
    Rootkits checked : 109
    Possible rootkits: 0

    Applications checks...
    Applications checked: 3
    Suspect applications: 0

    The system checks took: 1 minute and 7 seconds

    All results have been written to the logfile (/var/log/rkhunter.log)

    One or more warnings have been found while checking the system.
    Please check the log file (/var/log/rkhunter.log)
    Як видалити ці warnings??? Ось мій mail 777svitlyi777@gmail.com Напиши мені будь ласка. Володимир

    ВідповістиВидалити