Nous avons confirmé ce qui sera fait pour rkhunter, qui est connu comme une contre-mesure contre le rootkit.
--rkhunter peut également rechercher des éléments suspects autres que rootkit.
Si vous regardez la [page de projet] de rkhunter (http://rkhunter.sourceforge.net/), vous devriez voir l'installation Tutorial. Puisqu'il y en a, continuez en y faisant référence.
Quand j'y ai pensé, il y avait un paquet.
# apt-get install rkhunter
Malheureusement, les paramètres par défaut sont (intentionnellement?) Incorrects et ne fonctionnent pas.
――Il semble que vous puissiez vérifier sans mettre à jour la base de données, mais cela n'a pas beaucoup de sens.
# rkhunter --update
Invalid WEB_CMD configuration option: Relative pathname: "/bin/false"
#
Ajustez / etc / rkhunter.conf.
Le but étant de vérifier visuellement le fonctionnement, l'affichage passe au japonais.
--Paramètres de langue
--Paramètres liés aux commandes utilisées dans --update
WEB_CMD="/bin/false" -> curl
Paramètres d'inspection
UPDATE_MIRRORS=0 -> UPDATE_MIRRORS=1 (as default value)
MIRRORS_MODE=1 -> MIRROS_MODE=0 (as default value)
PKGMGR=NONE -> DPKG
La configuration par défaut ne fonctionne pas correctement. Veuillez noter que peu d'articles mentionnent cela.
--Lorsque vous regardez UPDATE_MIRRORS, MIRRORS_MODE et WEB_CMD, vous pourriez penser que vous ne voulez pas montrer le miroir d'ubuntu ou vous devriez le mettre en miroir vous-même (si vous le rendez disponible immédiatement, beaucoup d'accès se produira).
grep" warning "/ var / log / rkhunter ou japonais.
--Il semble nécessaire de définir PKGMGR.This is used when updating the file properties file ('rkhunter.dat'), and when running the file properties check.The package managers obtain each file hash value using a hash function.Après la modification, utilisez --config-check (forme courte: -C) pour vérifier, puis utilisez --update pour mettre à jour la base de données.
[Rootkit Hunter version 1.4.6 ]
Vérifiez le fichier de données rkhunter...
Miroirs de fichiers.Vérifier dat[Pas de mise à jour]
Programmes de fichiers_bad.Vérifier dat[Pas de mise à jour]
Fichiers backdoorports.Vérifier dat[Pas de mise à jour]
Analyse des fichiers.Vérifier dat[Pas de mise à jour]
Fichier i18n/Vérifier cn[Pas de mise à jour]
Fichier i18n/Vérifiez de[Pas de mise à jour]
Fichier i18n/Vérifier en[Pas de mise à jour]
Fichier i18n/Vérifiez tr[Pas de mise à jour]
Fichier i18n/tr.Vérifiez utf8[Pas de mise à jour]
Fichier i18n/Vérifiez zh[Pas de mise à jour]
Fichier i18n/zh.Vérifiez utf8[Pas de mise à jour]
Fichier i18n/Vérifiez ja[Pas de mise à jour]
root@tooltest:~#
Vérification du fichier i18n / de etc., une langue spécifique est spécifiée par ʻUPDATE_LANG`.Voir premier scan sur le wiki pour le scan.
Les résultats de l'analyse sont longs, je les mets donc en annexe à la fin. Seul le résumé est traité ici.
-- - check peut être raccourci avec -c, mais il peut être confondu avec -C of --config-check.
---- skip-keypress peut être raccourci avec -sk.
-c -sk# rkhunter --check --skip-keypress
(snip)
Aperçu de la vérification du système
=====================
Vérification des propriétés du fichier...
Contrôle de fichier: 143
Fichier suspect: 0
Vérification du rootkit...
Rootkit vérifié: 477
Possibilité de rootkit: 0
Vérification de l'application...
Tous les contrôles ont été ignorés.
Outil de vérification du système: 1 minute and 38 seconds
Tous les résultats ont été écrits dans le fichier journal: /var/log/rkhunter.log
Aucun avertissement n'a été trouvé lors de la vérification du système.
# vi /etc/rkhunter.conf
Il est décrit en détail dans / var / log / rkhunter.log.
--Par défaut, il sera écrasé, vous devez donc le modifier en fonction de la méthode d'opération. Cela peut être un enregistrement du moment où cela a changé. ――Il semble que vous vérifiez diverses choses autres que la porte arrière et le kit racine. Un aperçu est donné ci-dessous
En tant que tendance récente, il est important de pouvoir rapidement remarquer qu'il est impossible / intrusif d'empêcher toutes les intrusions. Compte tenu du champ d'application de rkhunter, on considère qu'un fonctionnement plus sûr peut être obtenu en l'utilisant en combinaison avec d'autres outils.
--Facile à installer, mais il est nécessaire d'ajuster les paramètres en fonction de l'opération
--popupd pour créer une valeur de référence.
――Il est nécessaire de supposer quel type de flux de réponse sera
-Ne vous méprenez pas sur la portée des mesuresAppendix
Un avertissement a été émis car lwp-request a été mis à jour après rkhunter --propupd.
Si vous pouvez confirmer qu'il n'y a pas de problème, faites --propupd et il sera reconnu comme étant le problème actuel, et aucun avertissement ne sera émis la prochaine fois.
# rkhunter -c -sk
[Rootkit Hunter version 1.4.6 ]
Vérifier les commandes système...
Effectuer une vérification de la commande "chaînes"
Vérifiez la commande "strings"[ OK ]
Effectuer une vérification "bibliothèque partagée"
Vérifier les variables de précharge[Aucune découverte]
Vérifiez la bibliothèque de préchargement[Aucune découverte]
「LD_LIBRARY_Vérifiez la variable "PATH"[Non découvert]
Effectuer une vérification des propriétés du fichier
Vérifier les prérequis[ OK ]
/usr/sbin/adduser [ OK ]
/usr/sbin/chroot [ OK ]
/usr/sbin/cron [ OK ]
/usr/sbin/depmod [ OK ]
/usr/sbin/fsck [ OK ]
/usr/sbin/groupadd [ OK ]
/usr/sbin/groupdel [ OK ]
/usr/sbin/groupmod [ OK ]
/usr/sbin/grpck [ OK ]
/usr/sbin/ifconfig [ OK ]
/usr/sbin/init [ OK ]
/usr/sbin/insmod [ OK ]
/usr/sbin/ip [ OK ]
/usr/sbin/lsmod [ OK ]
/usr/sbin/modinfo [ OK ]
/usr/sbin/modprobe [ OK ]
/usr/sbin/nologin [ OK ]
/usr/sbin/pwck [ OK ]
/usr/sbin/rmmod [ OK ]
/usr/sbin/route [ OK ]
/usr/sbin/rsyslogd [ OK ]
/usr/sbin/runlevel [ OK ]
/usr/sbin/sulogin [ OK ]
/usr/sbin/sysctl [ OK ]
/usr/sbin/useradd [ OK ]
/usr/sbin/userdel [ OK ]
/usr/sbin/usermod [ OK ]
/usr/sbin/vipw [ OK ]
/usr/sbin/unhide [ OK ]
/usr/sbin/unhide-linux [ OK ]
/usr/sbin/unhide-posix [ OK ]
/usr/sbin/unhide-tcp [ OK ]
/usr/bin/awk [ OK ]
/usr/bin/basename [ OK ]
/usr/bin/bash [ OK ]
/usr/bin/cat [ OK ]
/usr/bin/chattr [ OK ]
/usr/bin/chmod [ OK ]
/usr/bin/chown [ OK ]
/usr/bin/cp [ OK ]
/usr/bin/curl [ OK ]
/usr/bin/cut [ OK ]
/usr/bin/date [ OK ]
/usr/bin/df [ OK ]
/usr/bin/diff [ OK ]
/usr/bin/dirname [ OK ]
/usr/bin/dmesg [ OK ]
/usr/bin/dpkg [ OK ]
/usr/bin/dpkg-query [ OK ]
/usr/bin/du [ OK ]
/usr/bin/echo [ OK ]
/usr/bin/ed [ OK ]
/usr/bin/egrep [ OK ]
/usr/bin/env [ OK ]
/usr/bin/fgrep [ OK ]
/usr/bin/file [ OK ]
/usr/bin/find [ OK ]
/usr/bin/fuser [ OK ]
/usr/bin/GET [ OK ]
/usr/bin/grep [ OK ]
/usr/bin/groups [ OK ]
/usr/bin/head [ OK ]
/usr/bin/id [ OK ]
/usr/bin/ip [ OK ]
/usr/bin/ipcs [ OK ]
/usr/bin/kill [ OK ]
/usr/bin/killall [ OK ]
/usr/bin/last [ OK ]
/usr/bin/lastlog [ OK ]
/usr/bin/ldd [ OK ]
/usr/bin/less [ OK ]
/usr/bin/logger [ OK ]
/usr/bin/login [ OK ]
/usr/bin/ls [ OK ]
/usr/bin/lsattr [ OK ]
/usr/bin/lsmod [ OK ]
/usr/bin/lsof [ OK ]
/usr/bin/mail [ OK ]
/usr/bin/md5sum [ OK ]
/usr/bin/mktemp [ OK ]
/usr/bin/more [ OK ]
/usr/bin/mount [ OK ]
/usr/bin/mv [ OK ]
/usr/bin/netstat [ OK ]
/usr/bin/newgrp [ OK ]
/usr/bin/passwd [ OK ]
/usr/bin/perl [ OK ]
/usr/bin/pgrep [ OK ]
/usr/bin/ping [ OK ]
/usr/bin/pkill [ OK ]
/usr/bin/ps [ OK ]
/usr/bin/pstree [ OK ]
/usr/bin/pwd [ OK ]
/usr/bin/readlink [ OK ]
/usr/bin/rkhunter [ OK ]
/usr/bin/runcon [ OK ]
/usr/bin/sed [ OK ]
/usr/bin/sh [ OK ]
/usr/bin/sha1sum [ OK ]
/usr/bin/sha224sum [ OK ]
/usr/bin/sha256sum [ OK ]
/usr/bin/sha384sum [ OK ]
/usr/bin/sha512sum [ OK ]
/usr/bin/size [ OK ]
/usr/bin/sort [ OK ]
/usr/bin/ssh [ OK ]
/usr/bin/stat [ OK ]
/usr/bin/strace [ OK ]
/usr/bin/strings [ OK ]
/usr/bin/su [ OK ]
/usr/bin/sudo [ OK ]
/usr/bin/tail [ OK ]
/usr/bin/telnet [ OK ]
/usr/bin/test [ OK ]
/usr/bin/top [ OK ]
/usr/bin/touch [ OK ]
/usr/bin/tr [ OK ]
/usr/bin/uname [ OK ]
/usr/bin/uniq [ OK ]
/usr/bin/users [ OK ]
/usr/bin/vmstat [ OK ]
/usr/bin/w [ OK ]
/usr/bin/watch [ OK ]
/usr/bin/wc [ OK ]
/usr/bin/wget [ OK ]
/usr/bin/whatis [ OK ]
/usr/bin/whereis [ OK ]
/usr/bin/which [ OK ]
/usr/bin/who [ OK ]
/usr/bin/whoami [ OK ]
/usr/bin/numfmt [ OK ]
/usr/bin/kmod [ OK ]
/usr/bin/systemd [ OK ]
/usr/bin/systemctl [ OK ]
/usr/bin/mawk [ OK ]
/usr/bin/lwp-request [avertissement]
/usr/bin/bsd-mailx [ OK ]
/usr/bin/dash [ OK ]
/usr/bin/x86_64-linux-gnu-size [ OK ]
/usr/bin/x86_64-linux-gnu-strings [ OK ]
/usr/bin/telnet.netkit [ OK ]
/usr/bin/w.procps [ OK ]
/usr/lib/systemd/systemd [ OK ]
Vérifier les rootkits...
Effectuer une vérification des fichiers et répertoires de rootkit connus
55808 Trojan - Variant A [Non découvert]
ADM Worm [Non découvert]
AjaKit Rootkit [Non découvert]
Adore Rootkit [Non découvert]
aPa Kit [Non découvert]
Apache Worm [Non découvert]
Ambient (ark) Rootkit [Non découvert]
Balaur Rootkit [Non découvert]
BeastKit Rootkit [Non découvert]
beX2 Rootkit [Non découvert]
BOBKit Rootkit [Non découvert]
cb Rootkit [Non découvert]
CiNIK Worm (Slapper.B variant) [Non découvert]
Danny-Boy's Abuse Kit [Non découvert]
Devil RootKit [Non découvert]
Diamorphine LKM [Non découvert]
Dica-Kit Rootkit [Non découvert]
Dreams Rootkit [Non découvert]
Duarawkz Rootkit [Non découvert]
Ebury backdoor [Non découvert]
Enye LKM [Non découvert]
Flea Linux Rootkit [Non découvert]
Fu Rootkit [Non découvert]
Fuck`it Rootkit [Non découvert]
GasKit Rootkit [Non découvert]
Heroin LKM [Non découvert]
HjC Kit [Non découvert]
ignoKit Rootkit [Non découvert]
IntoXonia-NG Rootkit [Non découvert]
Irix Rootkit [Non découvert]
Jynx Rootkit [Non découvert]
Jynx2 Rootkit [Non découvert]
KBeast Rootkit [Non découvert]
Kitko Rootkit [Non découvert]
Knark Rootkit [Non découvert]
ld-linuxv.so Rootkit [Non découvert]
Li0n Worm [Non découvert]
Lockit / LJK2 Rootkit [Non découvert]
Mokes backdoor [Non découvert]
Mood-NT Rootkit [Non découvert]
MRK Rootkit [Non découvert]
Ni0 Rootkit [Non découvert]
Ohhara Rootkit [Non découvert]
Optic Kit (Tux) Worm [Non découvert]
Oz Rootkit [Non découvert]
Phalanx Rootkit [Non découvert]
Phalanx2 Rootkit [Non découvert]
Phalanx2 Rootkit (extended tests) [Non découvert]
Portacelo Rootkit [Non découvert]
R3dstorm Toolkit [Non découvert]
RH-Sharpe's Rootkit [Non découvert]
RSHA's Rootkit [Non découvert]
Scalper Worm [Non découvert]
Sebek LKM [Non découvert]
Shutdown Rootkit [Non découvert]
SHV4 Rootkit [Non découvert]
SHV5 Rootkit [Non découvert]
Sin Rootkit [Non découvert]
Slapper Worm [Non découvert]
Sneakin Rootkit [Non découvert]
'Spanish' Rootkit [Non découvert]
Suckit Rootkit [Non découvert]
Superkit Rootkit [Non découvert]
TBD (Telnet BackDoor) [Non découvert]
TeLeKiT Rootkit [Non découvert]
T0rn Rootkit [Non découvert]
trNkit Rootkit [Non découvert]
Trojanit Kit [Non découvert]
Tuxtendo Rootkit [Non découvert]
URK Rootkit [Non découvert]
Vampire Rootkit [Non découvert]
VcKit Rootkit [Non découvert]
Volc Rootkit [Non découvert]
Xzibit Rootkit [Non découvert]
zaRwT.KiT Rootkit [Non découvert]
ZK Rootkit [Non découvert]
Effectuer une vérification supplémentaire du rootkit
Vérification supplémentaire de Suckit Rootkit[ OK ]
Recherchez d'éventuels fichiers et répertoires de rootkit[Aucune découverte]
Recherchez d'éventuelles chaînes de rootkit[Aucune découverte]
Effectuer une vérification des logiciels malveillants
Vérifier l'exécution du processus des fichiers suspects[Aucune découverte]
Vérifiez la porte arrière de connexion[Aucune découverte]
Vérifiez le fichier journal du renifleur[Aucune découverte]
Rechercher les répertoires suspects[Aucune découverte]
Segment de mémoire partagée suspect[Aucune découverte]
Vérifier la porte dérobée Apache[Non découvert]
Effectuer des vérifications spécifiques à Linux
Rechercher les modules de noyau chargés[ OK ]
Vérifiez le nom du module du noyau[ OK ]
Vérification du réseau...
Effectuer une vérification du port réseau
Vérifiez le port de la porte arrière[Aucune découverte]
Effectuer une vérification de l'interface réseau
Vérifiez l'interface Promise Cass[Aucune découverte]
Vérifier l'hôte local...
Effectuer une vérification du démarrage du système
Vérifiez le nom d'hôte local[Découverte]
Vérifier les fichiers de démarrage du système[Découverte]
Rechercher les fichiers de démarrage du système malveillant[Aucune découverte]
Effectuer des vérifications de groupe et de compte
Vérifiez le fichier de mot de passe[Découverte]
équivalent racine(UID 0)Vérifiez votre compte[Aucune découverte]
Vérifier l'absence de mot de passe de compte[Aucune découverte]
Vérifier les modifications du fichier de mot de passe[Aucune découverte]
Vérification des changements de fichiers de groupe[Aucune découverte]
Vérifiez le fichier d'historique du shell pour le compte root[ OK ]
Effectuer une vérification du fichier de configuration du système
Vérifiez le fichier de configuration SSH[Non découvert]
Vérifiez le démon de journalisation du système en cours d'exécution[Découverte]
Vérifiez le fichier de configuration de la journalisation du système[Découverte]
syslog Vérifiez si la journalisation à distance est autorisée[Interdit]
Effectuer une vérification du système de fichiers
「/Rechercher les types de fichiers suspects de "dev"[Aucune découverte]
Rechercher les fichiers et répertoires cachés[Aucune découverte]
Aperçu de la vérification du système
=====================
Vérification des propriétés du fichier...
Contrôle de fichier: 143
Fichier suspect: 1
Vérification du rootkit...
Rootkit vérifié: 477
Possibilité de rootkit: 0
Vérification de l'application...
Tous les contrôles ont été ignorés.
Outil de vérification du système: 1 minute and 25 seconds
Tous les résultats ont été écrits dans le fichier journal: /var/log/rkhunter.log
Un ou plusieurs avertissements ont été trouvés lors de la vérification du système.
fichier journal(/var/log/rkhunter.log)Vérifiez s'il vous plaît.
#
Recommended Posts