ChkRootKit — утилита для поиска всякой нечисти и защиты от взлома

Вылечим от вирусов серверСегодня в процессе серфинга набрел на пару статей по поводу программ которые могут найти следы взлома сервера под линукс например руткиты враждебный код и прочие подозрительные объекты в системе. Прежде всего большая часть статей посвящена утилите ChkRootKit.

Решил для заметки описать все это и здесь ибо иногда может пригодиться например при подозрениях что кто-то шарится по твоему серверу.

Программа включает в себя несколько модулей:

  • chkrootkit - сценарий проверки системы
  • ifpromisc - поиск интерфейсов которые работают в режиме захвата пакетов
  • chklastlog - поиск фактов удаления записей из лог-файла lastlog
  • chkwtmp - обнаружение фактов удаления записей из лог-файла wtmp
  • chkproc - поиск следов троянских программ LKM (модуль ядра Linux)
  • chkdirs - поиск следов троянских программ
  • strings - программа для быстрого поиска и замены текстовых строк

Для ежедневного сканирования компьютера на всякую нечисть а так же отправки писем-отчетов на почту Администратора в крон добавляем следующее:

nano /etc/crontab
0 7 * * * /usr/sbin/chkrootkit; /usr/sbin/chkrootkit -q 2 >&1 | mail -s «Daily ChkRootKit Scan» [email protected]

Также проверку системы можно выполнить в ручном режиме. Для использования утилиты требуются полномочия суперпользователя.

/usr/sbin/chkrootkit

Результаты будут показаны на экране.

Модули chkwtmp и chklastlog могут помочь в обнаружении фактов удаления записей из системных журналов wtmp и lastlog однако полное обнаружение всех изменений файлов не гарантируется. Данные модули могут лишь попытаться найти файлы собранные анализаторами в обычных местах расположения подобных файлов. Учитывая что некоторые файлы могут находиться в нестандартных местах программа не позволяет гарантировать их обнаружение во всех случаях.

Модуль chkproc проверяет файлы /proc для обнаружения скрытых от команд ps и readdir системных вызовов которые могут быть связаны с троянскими модулями модуля ядра Linux. Вы можете использовать эту команду с ключом -v для вывода более подробного отчета.

Опции запуска ChkRootKit:

  • -h // Вывод справочной информации о работе с утилитой
  • -V // Вывод сведений о версии программы и завершение работы
  • -l // Показ списка поддерживаемых проверок
  • -d // Вывод подробной информации о работе программы - режим отладки
  • -q // Вывод минимальной информации
  • -x // Вывод расширенной информации
  • -r <каталог> // Задание имени каталога для использования в качестве корневого (root)
  • -p dir1:dir2:dirN // Указание путей к внешним программам используемым утилитой
  • -n // Отключение просмотра смонтированных каталогов NFS

Внимание:

Производителями данных программ не рекомендуется держать установленную программу постоянно на компьютере. Желательно удалять программу после проверки системы. По словам разработчиков эту программу можно при желании использовать и во вред.


Оригинал статьи http://pingvinoff.net/2009/08/05/chkrootkit/

0 комментариев

Оставить комментарий