Личный блог Suvan`a.

Работая и играя с Linux... И что из этого иногда получается.

Chkrootkit — антируткит

Рубрика: Безопасность -> Профилактика
Метки:
Среда, 6 апреля 2011 г.
Просмотров: 6597
Подписаться на комментарии по RSS

     Chkrootkit (http://www.chkrootkit.org) — это просто антивирус, специализирующийся на руткитах — ведь троянская программа считается вирусом. Chkrootkit, кроме руткитов, позволяет обнаруживать и другой тип программ — червей. Текущая версия chkrootkit позволяет обнаружить более 50 вредоносных программ, среди них:

• LRK (Linux Rootkit).

• TOrn.

• Adore LKM.

• червь Slapper.

• Червь Adore (не путайте с руткитом Adore).


     Установка и использование.

     Установка Chkrootkit очень проста. Просто скачайте архив с <http://www.chkrootkit.org/> , распакуйте его и выполните команды make и make install. Для сканирования вашей системы запустите исполнимый файл chkrootkit:

# chkrootkit

ROOTDIR is V

Checking 'amd'... not found

Checking 'basename'... not infected

Checking 'biff'... not infected

Checking xchfn'... not infected

     Спустя пару минут, сканирование системы будет завершено. Программы такого рода иногда выводят ложные сообщения. Лучше всего запустить Chkrootkit сразу после установки дистрибутива. Поскольку мы доверяем дистрибутивным дискам, все файлы будут считаться «чистыми», но Chkrootkit все равно выведет несколько ложных сообщений. Их нужно записать — вы будете знать, на какие файлы не нужно обращать внимание.

     Режим эксперта

     Хотя Chkrootkit — очень полезная утилита, она сканирует файловую систему и сравнивает определенные файлы с образцами, которые есть в ее базе.

     Но крекер всегда на шаг впереди: сегодня вы загрузили последнюю версию Chkrootkit, а завтра крекер создал новую версию руткита или червя.

     Чтобы бороться с этим, Chkrootkit предлагает режим эксперта. Включить этот режим можно с помощью опции -х. В результате получите детальный вывод, включая вывод программы strings для некоторых двоичных файлов. Лучше всего перенаправить этот вывод в какой-нибудь файл, а затем спокойно его прочитать:

# chkrootkit -x > /root/scan.logs».

     Использование chkrootkit для подозрительной машине.

     Chkrootkit использует некоторые системные утилиты, например ps, netstat. Но многие руткиты заменяют эти утилиты своими версиями. Что же тогда делать? В этом случае нужно идти в «обход».

     Запишите «чистые» («чистыми» они считаются сразу после установки) программы на дискету или CD-ROM, а при запуске Chkrootkit с помощью опции -р укажите, откуда нужно запускать программы:

# chkrootkit -p /mnt/cdrom/bin

     На CD-ROM вам нужно скопировать следующие программы: awk, cut, echo, egrep, find, head, id, Is, netstat, ps, strings, send и uname. Но учитывая небольшой размер каталога /bin, на компакт-диск легко поместится не только он, но еще и каталоги /sbin, /usr/bin и /usr/sbin.

Оставьте комментарий!

Не регистрировать/аноним

Используйте нормальные имена.

Если вы уже зарегистрированы как комментатор или хотите зарегистрироваться, укажите пароль и свой действующий email.
(При регистрации на указанный адрес придет письмо с кодом активации и ссылкой на ваш персональный аккаунт, где вы сможете изменить свои данные, включая адрес сайта, ник, описание, контакты и т.д.)



(обязательно)