Руткиты в Ubuntu 

Мы все одинаковы. Плохими считаются те, кто по ту сторону баррикады.




	Как известно, в Линуксе установить и запустить вредонос на выполнение может только сам пользователь. Обычно подобное происходит при инсталляции пользователем софта не из репозиториев. Вероятность того, что ваш компьютер будет кто-то преднамеренно и очень квалифицированно ломать, крайне низка –- вряд ли вы кого-то особо интересуете. Поэтому выбирайте: включать файрволл и ставить программы из репозиториев, или...




	Существует класс линуксных вредоносов, исторически пришедших из UNIX, которые устанавливаются на компьютерной системе для получения прав корневого пользователя с последующей минимизацией следов вторжения в систему. Такие вредоносы называются руткитами (от английских слов root –- корень, kit – инструментарий ). Руткиты помимо средств заметания следов включают в себя снифферы (вынюхиватели), сканеры, кейлоггеры (клавиатурные самописцы) и другие программы, подменяющие системные утилиты, что и позволяет взломщику прочно закрепиться в вашей системе. Кроме того, некоторые руткиты в обход файрволла способны открывать тайные лазейки в Интернет, чтобы сделать ваш компьютер участником ботнета.






 






	Однако, не надо думать, что руткиты неуловимы. Ещё как уловимы! Дело в том, что в Линуксе оригинальные системные программы снабжаются хэш-кодами, а руткиты для неуловимости изменяют прежде всего именно системные программы и, разумеется, их хэш-коды, что и выдаёт присутствие вредоносов. Итак, если для установки софта вы пользовались не только репозиториями и/или «для увеличения производительности» не использовали файрволл, то следует подумать о своей безопасности и проверить систему на руткиты. Откройте терминал и установите утилиту rkhunter командой:



	sudo apt-get install rkhunter




	Сначала обновите утилиту rkhunter и противоруткитную базу следующей командой:




	sudo rkhunter --update




	Дождитесь завершения обновления rkhunter и запустите поиск руткитов командой:




	sudo rkhunter -c -sk




	Проверка будет производиться в течение нескольких минут. Дождитесь завершения проверки и просмотрите результаты проверки в файле /var/log/rkhunter.log. Если rkhunter что-либо нашёл, то сообщит обязательно.




	Вторая утилита называется chkrootkit, ей тоже следует провериться. Для установки этой утилиты выполните в терминале:




	sudo apt-get install chkrootkit




	Затем запустите c правами суперпользователя поиск руткитов командой:




	sudo chkrootkit




	Дождитесь окончания проверки, которая также будет длиться несколько минут. И если всё хорошо, а глюки остались – то удалите, если сумеете, конечно, :) софт, установленный не из репозиториев. Разработчики не рекомендуют постоянно держать утилиту chkrootkit в системе, так как по их словам её можно использовать и во вред. Поэтому после проверки удаляем chkrootkit:



	sudo dpkg -r chkrootkit




	Отмечу, что ни одна из этих утилит не удаляет руткиты с вашего компьютера. Если вы получили какое-либо предупреждение от одной из этих утилит, изучите проблему, о которой сообщается, и убедитесь в том, что ее обнаружение не является ошибкой. Например, файл unhide будет отмечен, как подозрительный. Не пугайтесь, это не руткит, этот файл был установлен вместе с охотником за руткитами для поиска скрытого процесса.




	Если обнаружен руткит, то в большинстве случаев потребуется обновить вашу ОС, предварительно сохранив ценную для вас информацию. Но не спешите. Сначала загрузитесь с LiveCD (с того, с которого устанавливали систему), скачайте пакеты изменённых руткитом файлов и из-под LiveCD запишите их содержимое в систему. Мне помогло.




	Есть ещё одно средство, которое подписывает не только системные, но и все другие исполняемые и конфигурационные файлы, установленные в системе. Это – tripwire. Устанавливается, как и всё остальное:




	sudo apt-get install tripwire




	Утилита tripwire создаёт базу данных для всех файлов и директориев вашей системы с тем, чтобы вы постоянно могли обнаруживать неавторизованные изменения: установки, удаления и модификации в вашей файловой системе. Утилита имеет файл политик, определяющих, какие именно файлы и директории будут проверяться и по каким критериям – инодам, времени создания/модификации, владельцам, идентификаторам групп пользователей, размерам, правам, хэш-кодам и т.д. Очень серьёзный инструмент, необходимый страдающим повышенной мнительностью, но на мой взгляд излишне обременяющий простого пользователя. Подробнее см. здесь




	Короче, удачи, и да пребудет с вами Линукс!



Версия для печатиВерсия для печати
Рубрики: 
Теги: 

  
 
  • 1
  • 2
  • 3
  • 4
  • 5
Всего голосов: 0



  


  
      

      
Опубликовал: mike, 

    

  
  
  
  


  
  
  
  
Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!

  
  
      
Читайте также

  
  

        
  
  
      

      

    

    

  
  
  
  
  
  


  
  
  
  

 


  
  
  
  


          
Комментарии

      
  







  

      

        

    Аватар пользователя Alandr  

      
Alandr

    

  
  

    

      

	Оказывается, не только в Винде оказывается что-то из Линукса, но и в Линуксе оказывается что-то из Винды wink


      

                


                

      

    

  


  

  














  

      

        

    Аватар пользователя mike  

      
mike

    

  
  

    

      

	И даже из DOS'а.  Законы логики всеобщи.