Обнаружение руткита без другого компьютера
Если руткит был установлен без моего ведома для удаленного управления компьютером затем, я предполагаю, что менеджер по Обновлению должен быть затронут слишком правильный, то ядро обновляет, и т.д.... могли быть зараженные?
Существует ли способ проверить, был ли руткит помещен без моего ведома, не имея необходимость использовать другой компьютер?
Я сделал сканирование с chkrootkit, и он дал положительный результат, говоря, что suckit руткит установлен, но затем RKHunter не обнаруживает его, и я считал, что те программы часто бесполезны (по крайней мере, без надлежащего ведома) и дают ложные положительные стороны, и что, если бы хороший руткит установлен на компьютере, он управлял бы этими программами и журналами, и я никогда не знал бы, что это там.Спасибо.
2 ответа
Rkhunter на самом деле лучше с его обнаружениями, чем Chrootkit (и поскольку Rkhunter делает дополнительные проверки на suckit руткит, в отличие от этого Chrootkit, если только Chrootkit обнаруживают его тогда, это почти наверняка ложно-положительное ), однако обе потребности, которые будут установлены перед, руткит иначе, они не обнаружат его, таким образом, они будут видом вещей, которые должны быть установлены, когда Вы устанавливаете OS и прежде чем Вы обновите, устанавливает или изменяет что-либо еще.
Поэтому, если у Вас не было их прежде, чем иметь руткит, они не будут хорошо работать, потому что они сосредотачиваются на новых изменениях и предполагают, что система в настоящее время безопасна.
есть более современный инструмент, хотя названо OSSEC HIDS, который делает ряд других вещей, а также способности обнаружить руткиты на системах без потребности, которая будет установлена перед руткитом (хотя это, вероятно, желательно, поскольку руткит мог все еще изменить его, но поскольку это работает по-другому, это в состоянии обнаружить руткит, установленный перед ним).
И если я волновался, что у меня был ядерный руткит уровня, я не буду волноваться по поводу заражаемых обновлений, я волновался бы о том, что руткит уже был в моем ядре и таким образом мог сделать что-либо, даже сломать устанавливать система так, чтобы я могу установить что-либо, чтобы обнаружить его.
Если Вы подозреваете, что Вам установили руткит на Вашей системе, вот хорошая статья об обнаружении их:
Кибергородская Обучающая программа Руткита
, Если Вы обеспокоены, что способность может быть подозреваемым, Вы можете загрузить их с источника. Например:
wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
tar -xvzf chkrootkit.tar.gz
«CD» в справочник это создает, и следуйте инструкциям в README. Это исключит возможность руткита, изменяющего Ваш исходный список и тянущего в чем-то, что Вы не хотите.
Идеально Вы имели бы в распоряжении программу обнаружения, ПРЕЖДЕ ЧЕМ кто-то установит руткит, но Вы можете работать вокруг этого в большинстве случаев. Примите во внимание, что любой руткит, который скрывается в Вашем ядре, увеличивает размер ядра. Чем более сложен руткит, тем больше ядро будет. Вы можете проверить спекуляции недавнего ядерного кадра источник по kernel.org. Если Ваше ядро поднимает больше ресурсов, чем оно должно, у Вас может быть руткит, но за 15 лет работы IT предприятия в СМИ, научных, правительство и telecommunicaitons отрасли промышленности, я только видел руткит, развернутый однажды, и это был на шоу T.V. г-н Робот.
В конечном счете лучшая вещь сделать, вытирают машину и начинаются, если у Вас есть законная причина подозревать вмешательство.