Сегодня в процессе серфинга набрел на пару статей по поводу программ, которые могут найти следы взлома сервера под линукс, например, руткиты, враждебный код и прочие подозрительные объекты в системе. Прежде всего, большая часть статей посвящена утилите ChkRootKit.
Решил для заметки описать все это и здесь, ибо иногда может пригодиться, например, при подозрениях, что кто-то шарится по твоему серверу.
Программа включает в себя несколько модулей:
- chkrootkit — сценарий проверки системы
- ifpromisc — поиск интерфейсов, которые работают в режиме захвата пакетов
- chklastlog — поиск фактов удаления записей из лог-файла lastlog
- chkwtmp — обнаружение фактов удаления записей из лог-файла wtmp
- chkproc — поиск следов троянских программ LKM (модуль ядра Linux)
- chkdirs — поиск следов троянских программ
- strings — программа для быстрого поиска и замены текстовых строк
Для ежедневного сканирования компьютера на всякую нечисть, а так же отправки писем-отчетов на почту Администратора, в крон добавляем следующее:
nano /etc/crontab
0 7 * * * /usr/sbin/chkrootkit; /usr/sbin/chkrootkit -q 2 >&1 | mail -s «Daily ChkRootKit Scan» mail@mail.com
Также проверку системы можно выполнить в ручном режиме. Для использования утилиты требуются полномочия суперпользователя.
/usr/sbin/chkrootkit
Результаты будут показаны на экране.
Модули chkwtmp и chklastlog могут помочь в обнаружении фактов удаления записей из системных журналов wtmp и lastlog, однако полное обнаружение всех изменений файлов не гарантируется. Данные модули могут лишь попытаться найти файлы, собранные анализаторами в обычных местах расположения подобных файлов. Учитывая, что некоторые файлы могут находиться в нестандартных местах, программа не позволяет гарантировать их обнаружение во всех случаях.
Модуль chkproc проверяет файлы /proc для обнаружения скрытых от команд ps и readdir системных вызовов, которые могут быть связаны с троянскими модулями модуля ядра Linux. Вы можете использовать эту команду с ключом -v для вывода более подробного отчета.
Опции запуска ChkRootKit:
- -h // Вывод справочной информации о работе с утилитой
- -V // Вывод сведений о версии программы и завершение работы
- -l // Показ списка поддерживаемых проверок
- -d // Вывод подробной информации о работе программы — режим отладки
- -q // Вывод минимальной информации
- -x // Вывод расширенной информации
- -r <каталог> // Задание имени каталога для использования в качестве корневого (root)
- -p dir1:dir2:dirN // Указание путей к внешним программам, используемым утилитой
- -n // Отключение просмотра смонтированных каталогов NFS
Внимание:
Производителями данных программ не рекомендуется держать установленную программу постоянно на компьютере. Желательно удалять программу после проверки системы. По словам разработчиков, эту программу можно при желании использовать и во вред.
]]> ]]>Можно почитать еще:
- top — утилита для просмотра активности процессов в реальном времени
- free — утилита для вывода информации о памяти
- vmstat — утилита для мониторинга различной системной информации
- Менеджер пакетов
- Microsoft работает над новой ОСью. Не Windows…
- Нет перезагрузке
- Ну вот он и вышел, Ubuntu 8.10 Intrepid Ibex
- Обновление
- Применение команды uptime для мониторинга загрузки процессора
- Почему Линукс, или вендекапец?
Эту страницу находят, например, по запросам:
- поиск взлома линукс
- найти защиту на линукс от взлома
- как найти следы взлома linux
- СКАЧАТЬ chkrootkit
- защита сервера linux от взлома
