Вопрос Проверяем свой линукс на руткиты

Как узнать, не взломан ли наш рабочий компьютер? и не внедрил ли некий злобный хакер в нашу систему злонамеренное программное обеспечение, контролирующее каждый наш шаг и ежедневно отсылающее куда-то (страшно подумать) все наши пароли, явки и адреса - по меткому выражению нашего премьер-министра?

Шутки шутками... но чем черт не шутит. Разумеется, мы и сами не лыком шиты... и линукс в плане безопасности штука надежная; особенно, если мы озаботились грамотной настройкой сетевого экрана - проверьте, кстати, еще раз здесь .

В Mandriva, например, имеет место пакет безопасности msec, предназначенный для мониторинга безопасности системы. Основан msec на многоуровневой концепции системы безопасности, и предусматривает, в частности, проведение автоматически запускаемых проверок клик по изображению, чтобы увеличить):



В случае, предположим, изменения прав доступа к системе по ssh, либо иных - вы получите от msec предупреждение; также, чтобы просмотреть изменения, в любой момент мы можем воспользоваться командой msec -p:

msec -p


Тем не менее - давайте рассмотрим в контексте вышеназванной глобальной задачи, вынесенной в название темы - пакет, который называется chkrootkit.

Использование его не вызывает ни малейших проблем... устанавливаем пакет из репозитория -



и запускаем проверку системы, введя в командной строке под рутом chkrootkit:

[root@localhost aleksej]# chkrootkit
ROOTDIR is `/'
Checking `amd'... not found
Checking `basename'... not infected
Checking `biff'... not found
Checking `chfn'... not infected
Checking `chsh'... not infected
Checking `cron'... not infected
Checking `crontab'... not infected
Checking `date'... not infected
Checking `du'... not infected
Checking `dirname'... not infected
Checking `echo'... not infected
Checking `egrep'... not infected
Checking `env'... not infected
Checking `find'... not infected
Checking `fingerd'... not found
Checking `gpm'... not found
Checking `grep'... not infected
Checking `hdparm'... not found
Checking `su'... not infected
Checking `ifconfig'... not infected
Checking `inetd'... not tested
Checking `inetdconf'... not found
Checking `identd'... not found
Checking `init'... not infected
Checking `killall'... not infected
Checking `ldsopreload'... not infected
Checking .........................

В итоге придем, скорее всего, к выводу, что все-таки наш линукс защищен очень и очень неплохо.

Опции использования chkrootkit:

Aleksej пишет:

давайте рассмотрим... пакет, который называется chkrootkit.

Простите за ламерский вопрос, но как он проверяет систему, если не подгружает последние обновления вирусных/троянских баз?

Почему бы и нет?

Chkrootkit предназначен для поиска враждебного кода (rootkit) и иных подозрительных событий в системе. Программа включает в себя несколько модулей:

1. chkrootkit - сценарий проверки системы;
2. ifpromisc - поиск интерфейсов, работающих в режиме захвата пакетов.
3. chklastlog - обнаружение фактов удаления записей из журнального файла lastlog.
4. chkwtmp - обнаружение фактов удаления записей из журнального файла wtmp.
5. check_wtmpx - обнаружение фактов удаления записей из журнального файла(только для ОС Solaris).
6. chkproc - поиск следов троянских программ LKM (Linux Kernel Module - модуль ядра Linux.)
7. chkdirs - поиск следов троянских программ LKM.
8. strings - программа для быстрого поиска и замены текстовых строк.

Модули chkwtmp и chklastlog пытаются обнаруживать факты удаления записей из системных журналов wtmp и lastlog, но полное обнаружение всех изменений этих файлов не гарантируется.

Предпринимаются попытки поиска файлов, собранных анализаторами (тест aliens) в обычных местах расположения подобных файлов. Возможность нестандартного расположения файлов не позволяет гарантировать их обнаружение во всех случаях.

Модуль chkproc проверяет файлы /proc для обнаружения скрытых от команд ps и readdir системных вызовов, которые могут быть связаны с троянскими модулями LKM. Вы можете использовать эту команду с ключом -v для вывода более подробного отчета.


Chkrootkit может обнаруживать широкий спектр враждебного кода,
перечисленного ниже.

01. lrk3, lrk4, lrk5, lrk6 (и варианты);
02. Solaris rootkit;
03. FreeBSD rootkit;
04. t0rn (и варианты);
05. Ambient's Rootkit (ARK);
06. Ramen Worm;
07. rh-shaper;
08. RSHA;
09. Romanian rootkit;
10. RK17;
11. Lion Worm;
12. Adore Worm;
13. LPD Worm;
14. kenny-rk;
15. Adore LKM;
16. ShitC Worm;
17. Omega Worm;
18. Wormkit Worm;
19. Maniac-RK;
20. dsc-rootkit;
21. Ducoci rootkit;
22. x.c Worm;
23. RST.b trojan;
24. duarawkz;
25. knark LKM;
26. Monkit;
27. Hidrootkit;
28. Bobkit;
29. Pizdakit;
30. t0rn v8.0;
31. Showtee;
32. Optickit;
33. T.R.K;
34. MithRa's Rootkit;
35. George;
36. SucKIT;
37. Scalper;
38. Slapper A, B, C and D;
39. OpenBSD rk v1;
40. Illogic rootkit;
41. SK rootkit.
42. sebek LKM;
43. Romanian rootkit;
44. LOC rootkit;
45. shv4 rootkit;
46. Aquatica rootkit;
47. ZK rootkit;
48. 55808.A Worm;
49. TC2 Worm;
50. Volc rootkit;
51. Gold2 rootkit;
52. Anonoying rootkit;
53. Shkit rootkit;
54. AjaKit rootkit;
55. zaRwT rootkit;
56. Madalin rootkit;

Программа работает на различных программных платформах и была успешно протестирована на системах:

1. Linux с ядрами серий 2.0, 2.2, 2.4 и 2.6;
2. FreeBSD 2.2.x, 3.x, 4.x и 5.x;
3. OpenBSD 2.x и 3.x.;
4. NetBSD 1.5.2;
5. Solaris 2.5.1, 2.6 и 8.0;
6. HP-UX 11;
7. Tru64;
8. BSDI