среда, 1 декабря 2010 г.

Проверим Ubuntu на руткиты

Как написано в Википедии:
Руткит (англ. rootkit, т.е. «набор root'а») — программа или набор программ для скрытия следов присутствия злоумышленника или вредоносной программы в системе.


Термин Rootkit исторически пришёл из мира UNIX, и под этим термином понимается набор утилит или специальный модуль ядра, которые взломщик устанавливает на взломанной им компьютерной системе сразу после получения прав суперпользователя. Этот набор, как правило, включает в себя разнообразные утилиты для «заметания следов» вторжения в систему, снифферы, сканеры, кейлоггеры, троянские программы, замещающие основные утилиты UNIX (в случае неядерного руткита). Rootkit позволяет взломщику закрепиться во взломанной системе и скрыть следы своей деятельности путём сокрытия файлов, процессов, а также самого присутствия руткита в системе.
Таким образом наличие руткитов в системе - это огромнейшая брешь в защите вашего компьютера. Руткит может попасть на компьютер несколькими способами в зависимости от способа реализации самого руткита:
  • реализуемые подменой основных системных утилит (очень легко обнаруживаются средствами контроля целостности, кроме того, легко блокируются средствами типа SELinux (RedHat) и AppArmor (SUSE));
  • реализованные в виде модуля ядра и основанные на патчинге VFS или перехвате таблицы системных вызовов (sys_call_table);
  • основанные на модификации физической памяти ядра.
Но в основном это использование сторонних репозиториев.
Так как же проверить Ubuntu на отсутствие этой гадости в системе??
Ответ прост - используйте специальные утилиты для поиска руткитов в системе - chkrootkit и rkhunter!
Откройте терминал и установите утилиту rkhunter командой:

sudo apt-get install rkhunter

После установки обновите записи базы об известных руткитах командой:

sudo rkhunter --update

Дождитесь полного обновления и запустите проверку командой:

sudo rkhunter -c -sk

Внимательно изучите лог проверки в консоли или открыв лог файл. Если что-либо было найдено, то строго следуйте рекомендациям, выдаваемым утилитой.
Советую воспользоваться также второй утилитой - chkrootkit. Устанавливаем командой:

sudo apt-get install chkrootkit

После установки запустите утилиту командой:

sudo chkrootkit

До ждитесь окончания проверки и, если ничего не найдено, то смело закрывайте консоль.

Комментариев нет:

Отправить комментарий

Подписаться на: Комментарии к сообщению (Atom)