Tips - Rootkit

[northface]

Tankat ned från mindre seriösa förråd med risk för medföljande ohyra? Då är det inte fel att kolla om det finns kända rootkit/bakdörrar/trojaner eller andra sårbarheter på maskinen. Skanna datorn med de senaste versionerna av t.ex. chkrootkit och rkhunter.

chkrootkit
Hämta:

Kod: Markera allt

wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz

Packa upp:

Kod: Markera allt

tar zxf chkrootkit.tar.gz

Installera:

Kod: Markera allt

cd ~/chkrootkit-0.48

Kod: Markera allt

make sense

Skanna datorn:

Kod: Markera allt

sudo ./chkrootkit

rkhunter
Hämta:

Kod: Markera allt

wget http://downloads.sourceforge.net/rkhunter/rkhunter-1.3.2.tar.gz

Packa upp:

Kod: Markera allt

tar zxf rkhunter-1.3.2.tar.gz

Installera:

Kod: Markera allt

cd ~/rkhunter-1.3.2

Kod: Markera allt

sudo ./installer.sh --layout default --install

Skanna datorn:

Kod: Markera allt

sudo rkhunter --check

[andol]

(Givet att det nu inte är ett extra lurigt root-kit som även ger sig på chkrootkit och rkhunter.)

[northface]

Jag tror nog att den normalbegåvade forumbesökaren själv kan dra den slutsatsen!

[johanre]

Det kan vara värt att nämna att båda paketen finns i "universe" förrådet. Anledningen till varför man förmodligen ändå vill kompilera för hand är att man då får med en sökning på de allra senaste rootkit typerna som chkrootkit och rkhunter har koll på.

[defatist]

Godmorgon!
Körde programmet och följande väckte min nyfikenhet, men jag förstår inte riktigt innebörden, någon som kan förklara?

"Checking for hidden files and directories [ Warning ]
[07:43:35] Warning: Hidden directory found: /etc/.java
[07:43:35] Warning: Hidden directory found: /dev/.static
[07:43:35] Warning: Hidden directory found: /dev/.udev
[07:43:35] Warning: Hidden directory found: /dev/.initramfs"

Ordet [ Warning ] skrevs med Rött.

Något att bli orolig för eller är resultatet normalt?

[ajja]

Det är troligtvis inte något bekymmer, varningen kommer sig mest av att de är dolda och att programmet vill göra dig uppmärksam på det.

Vill i sammanhanget slå ett slag för programmet Aide som till skillnad från de bägge ovan nämnda först skapar en databas över systemet som sedan används som referens.

Det första man gör är att konfigurera Aide genom att tala om för programmet vilka platser som skall kontrolleras resp. uteslutas från kontrollen.
Sedan skapar man databasen som man sedan bör förvara på en annan plats (CD, minnespinne).

Aide är lite svårare att använda men rätt använt så finns det troligtvis ingen inkräktare som klarar att ändra i dina filer för att dölja sitt intrång utan att du upptäcker det samma med rootkit.

[Emil.s]

Det är troligtvis inte något bekymmer, varningen kommer sig mest av att de är dolda och att programmet vill göra dig uppmärksam på det.

Vill i sammanhanget slå ett slag för programmet Aide som till skillnad från de bägge ovan nämnda först skapar en databas över systemet som sedan används som referens.

Det första man gör är att konfigurera Aide genom att tala om för programmet vilka platser som skall kontrolleras resp. uteslutas från kontrollen.
Sedan skapar man databasen som man sedan bör förvara på en annan plats (CD, minnespinne).

Aide är lite svårare att använda men rätt använt så finns det troligtvis ingen inkräktare som klarar att ändra i dina filer för att dölja sitt intrång utan att du upptäcker det samma med rootkit.

Låter som något liknande "tripwire". Men då lär man egentligen även lägga tripwile/Aide binärfilen på en egen CD, och sen boota från den, då en möjlig inkräktare mycket väl kan ha lagt in sina egna versioner av programen, men även ändrat i md5sum, eller lagt till egna moduler till kärnan för att dölja sina spår.

[ajja]

Jag valde mellan Tripwire och Aide och anledningen till att det blev Aide var en Svensk howto
( http://forum.unix.se/AIDE_i_OpenBSD )
visserligen skriven för OpenBSD men skillnaden är marginell.

Du har rätt i att det kan vara en god idé att placera binären annorstädes med
(beroende på hur paranoid man är ).