Руткиты в Ubuntu

Мы все одинаковы. Плохими считаются те, кто по ту сторону баррикады.


Как известно, в Линуксе установить и запустить вредонос на выполнение может только сам пользователь. Обычно подобное происходит при инсталляции пользователем софта не из репозиториев. Вероятность того, что ваш компьютер будет кто-то преднамеренно и очень квалифицированно ломать, крайне низка –- вряд ли вы кого-то особо интересуете. Поэтому выбирайте: включать файрволл и ставить программы из репозиториев, или...
Существует класс линуксных вредоносов, исторически пришедших из UNIX, которые устанавливаются на компьютерной системе для получения прав корневого пользователя с последующей минимизацией следов вторжения в систему. Такие вредоносы называются руткитами (от английских слов root –- корень, kit – инструментарий ). Руткиты помимо средств заметания следов включают в себя снифферы (вынюхиватели), сканеры, кейлоггеры (клавиатурные самописцы) и другие программы, подменяющие системные утилиты, что и позволяет взломщику прочно закрепиться в вашей системе. Кроме того, некоторые руткиты в обход файрволла способны открывать тайные лазейки в Интернет, чтобы сделать ваш компьютер участником ботнета.
 
Однако, не надо думать, что руткиты неуловимы. Ещё как уловимы! Дело в том, что в Линуксе оригинальные системные программы снабжаются хэш-кодами, а руткиты для неуловимости изменяют прежде всего именно системные программы и, разумеется, их хэш-коды, что и выдаёт присутствие вредоносов. Итак, если для установки софта вы пользовались не только репозиториями и/или «для увеличения производительности» не использовали файрволл, то следует подумать о своей безопасности и проверить систему на руткиты. Откройте терминал и установите утилиту rkhunter командой:
sudo apt-get install rkhunter
Сначала обновите утилиту rkhunter и противоруткитную базу следующей командой:
sudo rkhunter --update
Дождитесь завершения обновления rkhunter и запустите поиск руткитов командой:
sudo rkhunter -c -sk
Проверка будет производиться в течение нескольких минут. Дождитесь завершения проверки и просмотрите результаты проверки в файле /var/log/rkhunter.log. Если rkhunter что-либо нашёл, то сообщит обязательно.
Вторая утилита называется chkrootkit, ей тоже следует провериться. Для установки этой утилиты выполните в терминале:
sudo apt-get install chkrootkit
Затем запустите c правами суперпользователя поиск руткитов командой:
sudo chkrootkit
Дождитесь окончания проверки, которая также будет длиться несколько минут. И если всё хорошо, а глюки остались – то удалите, если сумеете, конечно, :) софт, установленный не из репозиториев. Разработчики не рекомендуют постоянно держать утилиту chkrootkit в системе, так как по их словам её можно использовать и во вред. Поэтому после проверки удаляем chkrootkit:
sudo dpkg -r chkrootkit
Отмечу, что ни одна из этих утилит не удаляет руткиты с вашего компьютера. Если вы получили какое-либо предупреждение от одной из этих утилит, изучите проблему, о которой сообщается, и убедитесь в том, что ее обнаружение не является ошибкой. Например, файл unhide будет отмечен, как подозрительный. Не пугайтесь, это не руткит, этот файл был установлен вместе с охотником за руткитами для поиска скрытого процесса.
Если обнаружен руткит, то в большинстве случаев потребуется обновить вашу ОС, предварительно сохранив ценную для вас информацию. Но не спешите. Сначала загрузитесь с LiveCD (с того, с которого устанавливали систему), скачайте пакеты изменённых руткитом файлов и из-под LiveCD запишите их содержимое в систему. Мне помогло.
Есть ещё одно средство, которое подписывает не только системные, но и все другие исполняемые и конфигурационные файлы, установленные в системе. Это – tripwire. Устанавливается, как и всё остальное:
sudo apt-get install tripwire
Утилита tripwire создаёт базу данных для всех файлов и директориев вашей системы с тем, чтобы вы постоянно могли обнаруживать неавторизованные изменения: установки, удаления и модификации в вашей файловой системе. Утилита имеет файл политик, определяющих, какие именно файлы и директории будут проверяться и по каким критериям – инодам, времени создания/модификации, владельцам, идентификаторам групп пользователей, размерам, правам, хэш-кодам и т.д. Очень серьёзный инструмент, необходимый страдающим повышенной мнительностью, но на мой взгляд излишне обременяющий простого пользователя. Подробнее см. здесь
Короче, удачи, и да пребудет с вами Линукс!
Версия для печатиВерсия для печати

Рубрики: 

  • 1
  • 2
  • 3
  • 4
  • 5
Всего голосов: 0
Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!
 

Комментарии

Аватар пользователя Alandr

Оказывается, не только в Винде оказывается что-то из Линукса, но и в Линуксе оказывается что-то из Винды wink

Аватар пользователя mike

И даже из DOS'а.  Законы логики всеобщи.