Wir haben bestätigt, was mit rkhunter gemacht wird, das als Gegenmaßnahme gegen Rootkit bekannt ist.
--rkhunter kann auch nach anderen verdächtigen Dingen als dem Rootkit suchen.
Wenn Sie sich die [Projektseite] von rkhunter (http://rkhunter.sourceforge.net/) ansehen, sollten Sie die Installation Tutorial sehen. Da dies der Fall ist, verweisen Sie darauf.
Als ich darüber nachdachte, gab es ein Paket.
# apt-get install rkhunter
Leider sind die Standardeinstellungen (absichtlich?) Falsch und funktionieren nicht.
――Es scheint, dass Sie überprüfen können, ohne die Datenbank zu aktualisieren, aber das macht nicht viel Sinn.
# rkhunter --update
Invalid WEB_CMD configuration option: Relative pathname: "/bin/false"
#
Passen Sie / etc / rkhunter.conf an.
Da der Zweck darin besteht, den Betrieb visuell zu überprüfen, wird die Anzeige auf Japanisch umgeschaltet.
--Spracheinstellungen
--Einstellungen für Befehle, die in --update verwendet werden
WEB_CMD="/bin/false" -> curl
Inspektionseinstellungen
UPDATE_MIRRORS=0 -> UPDATE_MIRRORS=1 (as default value)
MIRRORS_MODE=1 -> MIRROS_MODE=0 (as default value)
PKGMGR=NONE -> DPKG
Die Standardkonfiguration funktioniert nicht richtig. Bitte beachten Sie, dass es nur wenige Artikel gibt, die dies erwähnen.
This is used when updating the file properties file ('rkhunter.dat'), and when running the file properties check.The package managers obtain each file hash value using a hash function.Verwenden Sie nach der Änderung --config-check (Kurzform: -C), um zu überprüfen, und verwenden Sie dann --update, um die Datenbank zu aktualisieren.
[Rootkit Hunter Version 1.4.6 ]
Überprüfen Sie die rkhunter-Datendatei...
Dateispiegel.Überprüfen Sie dat[Kein Update]
Dateiprogramme_bad.Überprüfen Sie dat[Kein Update]
Datei Backdoorports.Überprüfen Sie dat[Kein Update]
Datei suspscan.Überprüfen Sie dat[Kein Update]
Datei i18n/Überprüfen Sie cn[Kein Update]
Datei i18n/Überprüfen Sie de[Kein Update]
Datei i18n/Überprüfen Sie en[Kein Update]
Datei i18n/Überprüfen Sie tr[Kein Update]
Datei i18n/tr.Überprüfen Sie utf8[Kein Update]
Datei i18n/Überprüfen Sie zh[Kein Update]
Datei i18n/zh.Überprüfen Sie utf8[Kein Update]
Datei i18n/Überprüfen Sie ja[Kein Update]
root@tooltest:~#
Siehe erster Scan im Wiki zum Scannen.
Die Scanergebnisse sind lang, daher habe ich sie am Ende in den Anhang aufgenommen. Hier wird nur die Zusammenfassung behandelt.
-- - check kann mit -c gekürzt werden, kann aber mit -C von --config-check verwechselt werden.
---- Skip-Keypress kann mit -sk gekürzt werden.
-c -sk zu scannen# rkhunter --check --skip-keypress
(snip)
Übersicht über die Systemprüfung
=====================
Überprüfung der Dateieigenschaften...
Dateiprüfung: 143
Verdächtige Datei: 0
Rootkit-Check...
Rootkit überprüft: 477
Möglichkeit des Rootkits: 0
Anwendungsprüfung...
Alle Prüfungen wurden übersprungen.
Systemprüfwerkzeug: 1 minute and 38 seconds
Alle Ergebnisse wurden in die Protokolldatei geschrieben: /var/log/rkhunter.log
Während der Systemprüfung wurden keine Warnungen gefunden.
# vi /etc/rkhunter.conf
Es wird ausführlich in / var / log / rkhunter.log beschrieben.
Als aktueller Trend ist es wichtig, schnell erkennen zu können, dass es unmöglich / eingedrungen ist, alle Eingriffe zu verhindern. In Anbetracht des Anwendungsbereichs von rkhunter wird davon ausgegangen, dass ein sicherer Betrieb erreicht werden kann, wenn es in Kombination mit anderen Werkzeugen verwendet wird.
Appendix
Eine Warnung wurde ausgegeben, weil "lwp-request" nach "rkhunter --propupd" aktualisiert wurde. Wenn Sie bestätigen können, dass kein Problem vorliegt, führen Sie --propupd aus, und es wird als das aktuelle erkannt, und beim nächsten Mal wird keine Warnung ausgegeben.
# rkhunter -c -sk
[Rootkit Hunter Version 1.4.6 ]
Überprüfen Sie die Systembefehle...
Führen Sie eine Befehlsprüfung "Strings" durch
Überprüfen Sie den Befehl "Strings"[ OK ]
Führen Sie eine Überprüfung der "gemeinsam genutzten Bibliothek" durch
Überprüfen Sie die Vorspannungsvariablen[Keine Entdeckung]
Überprüfen Sie die Preload-Bibliothek[Keine Entdeckung]
「LD_LIBRARY_Überprüfen Sie die Variable "PATH"[Unentdeckt]
Führen Sie eine Überprüfung der Dateieigenschaften durch
Überprüfen Sie die Voraussetzungen[ OK ]
/usr/sbin/adduser [ OK ]
/usr/sbin/chroot [ OK ]
/usr/sbin/cron [ OK ]
/usr/sbin/depmod [ OK ]
/usr/sbin/fsck [ OK ]
/usr/sbin/groupadd [ OK ]
/usr/sbin/groupdel [ OK ]
/usr/sbin/groupmod [ OK ]
/usr/sbin/grpck [ OK ]
/usr/sbin/ifconfig [ OK ]
/usr/sbin/init [ OK ]
/usr/sbin/insmod [ OK ]
/usr/sbin/ip [ OK ]
/usr/sbin/lsmod [ OK ]
/usr/sbin/modinfo [ OK ]
/usr/sbin/modprobe [ OK ]
/usr/sbin/nologin [ OK ]
/usr/sbin/pwck [ OK ]
/usr/sbin/rmmod [ OK ]
/usr/sbin/route [ OK ]
/usr/sbin/rsyslogd [ OK ]
/usr/sbin/runlevel [ OK ]
/usr/sbin/sulogin [ OK ]
/usr/sbin/sysctl [ OK ]
/usr/sbin/useradd [ OK ]
/usr/sbin/userdel [ OK ]
/usr/sbin/usermod [ OK ]
/usr/sbin/vipw [ OK ]
/usr/sbin/unhide [ OK ]
/usr/sbin/unhide-linux [ OK ]
/usr/sbin/unhide-posix [ OK ]
/usr/sbin/unhide-tcp [ OK ]
/usr/bin/awk [ OK ]
/usr/bin/basename [ OK ]
/usr/bin/bash [ OK ]
/usr/bin/cat [ OK ]
/usr/bin/chattr [ OK ]
/usr/bin/chmod [ OK ]
/usr/bin/chown [ OK ]
/usr/bin/cp [ OK ]
/usr/bin/curl [ OK ]
/usr/bin/cut [ OK ]
/usr/bin/date [ OK ]
/usr/bin/df [ OK ]
/usr/bin/diff [ OK ]
/usr/bin/dirname [ OK ]
/usr/bin/dmesg [ OK ]
/usr/bin/dpkg [ OK ]
/usr/bin/dpkg-query [ OK ]
/usr/bin/du [ OK ]
/usr/bin/echo [ OK ]
/usr/bin/ed [ OK ]
/usr/bin/egrep [ OK ]
/usr/bin/env [ OK ]
/usr/bin/fgrep [ OK ]
/usr/bin/file [ OK ]
/usr/bin/find [ OK ]
/usr/bin/fuser [ OK ]
/usr/bin/GET [ OK ]
/usr/bin/grep [ OK ]
/usr/bin/groups [ OK ]
/usr/bin/head [ OK ]
/usr/bin/id [ OK ]
/usr/bin/ip [ OK ]
/usr/bin/ipcs [ OK ]
/usr/bin/kill [ OK ]
/usr/bin/killall [ OK ]
/usr/bin/last [ OK ]
/usr/bin/lastlog [ OK ]
/usr/bin/ldd [ OK ]
/usr/bin/less [ OK ]
/usr/bin/logger [ OK ]
/usr/bin/login [ OK ]
/usr/bin/ls [ OK ]
/usr/bin/lsattr [ OK ]
/usr/bin/lsmod [ OK ]
/usr/bin/lsof [ OK ]
/usr/bin/mail [ OK ]
/usr/bin/md5sum [ OK ]
/usr/bin/mktemp [ OK ]
/usr/bin/more [ OK ]
/usr/bin/mount [ OK ]
/usr/bin/mv [ OK ]
/usr/bin/netstat [ OK ]
/usr/bin/newgrp [ OK ]
/usr/bin/passwd [ OK ]
/usr/bin/perl [ OK ]
/usr/bin/pgrep [ OK ]
/usr/bin/ping [ OK ]
/usr/bin/pkill [ OK ]
/usr/bin/ps [ OK ]
/usr/bin/pstree [ OK ]
/usr/bin/pwd [ OK ]
/usr/bin/readlink [ OK ]
/usr/bin/rkhunter [ OK ]
/usr/bin/runcon [ OK ]
/usr/bin/sed [ OK ]
/usr/bin/sh [ OK ]
/usr/bin/sha1sum [ OK ]
/usr/bin/sha224sum [ OK ]
/usr/bin/sha256sum [ OK ]
/usr/bin/sha384sum [ OK ]
/usr/bin/sha512sum [ OK ]
/usr/bin/size [ OK ]
/usr/bin/sort [ OK ]
/usr/bin/ssh [ OK ]
/usr/bin/stat [ OK ]
/usr/bin/strace [ OK ]
/usr/bin/strings [ OK ]
/usr/bin/su [ OK ]
/usr/bin/sudo [ OK ]
/usr/bin/tail [ OK ]
/usr/bin/telnet [ OK ]
/usr/bin/test [ OK ]
/usr/bin/top [ OK ]
/usr/bin/touch [ OK ]
/usr/bin/tr [ OK ]
/usr/bin/uname [ OK ]
/usr/bin/uniq [ OK ]
/usr/bin/users [ OK ]
/usr/bin/vmstat [ OK ]
/usr/bin/w [ OK ]
/usr/bin/watch [ OK ]
/usr/bin/wc [ OK ]
/usr/bin/wget [ OK ]
/usr/bin/whatis [ OK ]
/usr/bin/whereis [ OK ]
/usr/bin/which [ OK ]
/usr/bin/who [ OK ]
/usr/bin/whoami [ OK ]
/usr/bin/numfmt [ OK ]
/usr/bin/kmod [ OK ]
/usr/bin/systemd [ OK ]
/usr/bin/systemctl [ OK ]
/usr/bin/mawk [ OK ]
/usr/bin/lwp-request [Warnung]
/usr/bin/bsd-mailx [ OK ]
/usr/bin/dash [ OK ]
/usr/bin/x86_64-linux-gnu-size [ OK ]
/usr/bin/x86_64-linux-gnu-strings [ OK ]
/usr/bin/telnet.netkit [ OK ]
/usr/bin/w.procps [ OK ]
/usr/lib/systemd/systemd [ OK ]
Überprüfen Sie die Rootkits...
Führen Sie eine Überprüfung auf bekannte Rootkit-Dateien und -Verzeichnisse durch
55808 Trojan - Variant A [Unentdeckt]
ADM Worm [Unentdeckt]
AjaKit Rootkit [Unentdeckt]
Adore Rootkit [Unentdeckt]
aPa Kit [Unentdeckt]
Apache Worm [Unentdeckt]
Ambient (ark) Rootkit [Unentdeckt]
Balaur Rootkit [Unentdeckt]
BeastKit Rootkit [Unentdeckt]
beX2 Rootkit [Unentdeckt]
BOBKit Rootkit [Unentdeckt]
cb Rootkit [Unentdeckt]
CiNIK Worm (Slapper.B variant) [Unentdeckt]
Danny-Boy's Abuse Kit [Unentdeckt]
Devil RootKit [Unentdeckt]
Diamorphine LKM [Unentdeckt]
Dica-Kit Rootkit [Unentdeckt]
Dreams Rootkit [Unentdeckt]
Duarawkz Rootkit [Unentdeckt]
Ebury backdoor [Unentdeckt]
Enye LKM [Unentdeckt]
Flea Linux Rootkit [Unentdeckt]
Fu Rootkit [Unentdeckt]
Fuck`it Rootkit [Unentdeckt]
GasKit Rootkit [Unentdeckt]
Heroin LKM [Unentdeckt]
HjC Kit [Unentdeckt]
ignoKit Rootkit [Unentdeckt]
IntoXonia-NG Rootkit [Unentdeckt]
Irix Rootkit [Unentdeckt]
Jynx Rootkit [Unentdeckt]
Jynx2 Rootkit [Unentdeckt]
KBeast Rootkit [Unentdeckt]
Kitko Rootkit [Unentdeckt]
Knark Rootkit [Unentdeckt]
ld-linuxv.so Rootkit [Unentdeckt]
Li0n Worm [Unentdeckt]
Lockit / LJK2 Rootkit [Unentdeckt]
Mokes backdoor [Unentdeckt]
Mood-NT Rootkit [Unentdeckt]
MRK Rootkit [Unentdeckt]
Ni0 Rootkit [Unentdeckt]
Ohhara Rootkit [Unentdeckt]
Optic Kit (Tux) Worm [Unentdeckt]
Oz Rootkit [Unentdeckt]
Phalanx Rootkit [Unentdeckt]
Phalanx2 Rootkit [Unentdeckt]
Phalanx2 Rootkit (extended tests) [Unentdeckt]
Portacelo Rootkit [Unentdeckt]
R3dstorm Toolkit [Unentdeckt]
RH-Sharpe's Rootkit [Unentdeckt]
RSHA's Rootkit [Unentdeckt]
Scalper Worm [Unentdeckt]
Sebek LKM [Unentdeckt]
Shutdown Rootkit [Unentdeckt]
SHV4 Rootkit [Unentdeckt]
SHV5 Rootkit [Unentdeckt]
Sin Rootkit [Unentdeckt]
Slapper Worm [Unentdeckt]
Sneakin Rootkit [Unentdeckt]
'Spanish' Rootkit [Unentdeckt]
Suckit Rootkit [Unentdeckt]
Superkit Rootkit [Unentdeckt]
TBD (Telnet BackDoor) [Unentdeckt]
TeLeKiT Rootkit [Unentdeckt]
T0rn Rootkit [Unentdeckt]
trNkit Rootkit [Unentdeckt]
Trojanit Kit [Unentdeckt]
Tuxtendo Rootkit [Unentdeckt]
URK Rootkit [Unentdeckt]
Vampire Rootkit [Unentdeckt]
VcKit Rootkit [Unentdeckt]
Volc Rootkit [Unentdeckt]
Xzibit Rootkit [Unentdeckt]
zaRwT.KiT Rootkit [Unentdeckt]
ZK Rootkit [Unentdeckt]
Führen Sie eine zusätzliche Rootkit-Prüfung durch
Suckit Rootkit zusätzliche Prüfung[ OK ]
Suchen Sie nach möglichen Rootkit-Dateien und -Verzeichnissen[Keine Entdeckung]
Suchen Sie nach möglichen Rootkit-Zeichenfolgen[Keine Entdeckung]
Führen Sie eine Malware-Prüfung durch
Überprüfen Sie die Prozessausführung verdächtiger Dateien[Keine Entdeckung]
Überprüfen Sie die Login-Hintertür[Keine Entdeckung]
Überprüfen Sie die Sniffer-Protokolldatei[Keine Entdeckung]
Suchen Sie nach verdächtigen Verzeichnissen[Keine Entdeckung]
Verdächtiges Shared-Memory-Segment[Keine Entdeckung]
Überprüfen Sie die Apache-Hintertür[Unentdeckt]
Führen Sie Linux-spezifische Prüfungen durch
Suchen Sie nach geladenen Kernelmodulen[ OK ]
Überprüfen Sie den Namen des Kernelmoduls[ OK ]
Netzwerkprüfung...
Führen Sie eine Netzwerkportprüfung durch
Überprüfen Sie den Hintertüranschluss[Keine Entdeckung]
Führen Sie eine Überprüfung der Netzwerkschnittstelle durch
Überprüfen Sie die Promise Cass-Oberfläche[Keine Entdeckung]
Überprüfen Sie den lokalen Host...
Führen Sie eine Systemstartprüfung durch
Überprüfen Sie den lokalen Hostnamen[Entdeckung]
Überprüfen Sie die Systemstartdateien[Entdeckung]
Suchen Sie nach Startdateien für Malware-Systeme[Keine Entdeckung]
Führen Sie Gruppen- und Kontoprüfungen durch
Überprüfen Sie die Passwortdatei[Entdeckung]
Wurzeläquivalent(UID 0)Überprüfen Sie Ihr Konto[Keine Entdeckung]
Überprüfen Sie, ob kein Passwort vorhanden ist[Keine Entdeckung]
Überprüfen Sie, ob sich die Kennwortdatei geändert hat[Keine Entdeckung]
Überprüfung der Änderung von Gruppendateien[Keine Entdeckung]
Überprüfen Sie die Shell-Verlaufsdatei für das Root-Konto[ OK ]
Führen Sie eine Überprüfung der Systemkonfigurationsdatei durch
Überprüfen Sie die SSH-Konfigurationsdatei[Unentdeckt]
Überprüfen Sie den laufenden Systemprotokollierungsdämon[Entdeckung]
Überprüfen Sie die Konfigurationsdatei für die Systemprotokollierung[Entdeckung]
syslog Überprüfen Sie, ob die Remote-Protokollierung zulässig ist[Nicht erlaubt]
Führen Sie eine Dateisystemprüfung durch
「/Suchen Sie nach verdächtigen Dateitypen von "dev".[Keine Entdeckung]
Suchen Sie nach versteckten Dateien und Verzeichnissen[Keine Entdeckung]
Übersicht über die Systemprüfung
=====================
Überprüfung der Dateieigenschaften...
Dateiprüfung: 143
Verdächtige Datei: 1
Rootkit-Check...
Rootkit überprüft: 477
Möglichkeit des Rootkits: 0
Anwendungsprüfung...
Alle Prüfungen wurden übersprungen.
Systemprüfwerkzeug: 1 minute and 25 seconds
Alle Ergebnisse wurden in die Protokolldatei geschrieben: /var/log/rkhunter.log
Bei der Systemprüfung wurden eine oder mehrere Warnungen gefunden.
Logdatei(/var/log/rkhunter.log)Bitte prüfen.
#
Recommended Posts