Боремся с вирусами на сервере

Майор

Администратор
Команда форума
Регистрация
04.09.14
Сообщения
2.833
Реакции
1.939
Баллы
113
Одной из разновидностей вредоносных программ в Windows и Linux операционных системах, являются так называемые руткиты (rootkit). Это специальные программы, которые позволяют получить полный контроль над вашим компьютером, используя известные уязвимости. Chkrootkit представляет собой сканер, который по тем или иным признакам поиска, отслеживает наличие руткита в локальной системе. Программа имеет несколько модулей, для поиска руткитов и других небезопасных объектов:

chkrootkit - проверка системы.
ifpromisc - обнаружение режима захвата пакетов.
chklastlog - обнаружение факта удаления записей из файла lastlog.
chkwtmp - то же, из файла wtmp.
chkproc - обнаружение троянский следов (LKM).
strings - поиск и замена текстовых строк.

Надо сказать, что данный сканер не дает стопроцентной гарантии того, что ваш компьютер не был взломан. Для большей уверенности, вместе с Chkrootkit рекомендуется использовать утилиту Rkhunter. В отличие от обычных антивирусников, которые в большинстве своем конфликтую между собой, эти две утилиты нормально уживаются вместе и одна дополняет другую. Поэтому, если вы решили просканировать систему на наличие rootkit, то в дополнение к Chkrootkit устанавливайте и Rkhunter. Установку обоих программ в Ubuntu, можно выполнить через Synaptic или "центр приложений Ubuntu", а так же, через консоль. В debian ставится так же через консоль (пример для chkrootkit):

Код:
 sudo apt-get install chkrootkit
// После установки, запустить сканер можно из консоли:

sudo chkrootkit

Если сканер обнаруживает что-то подозрительное, то программа просто выдаст информацию о проблеме. Надо иметь в виду, что Chkrootkit может только найти что-либо неладное, удалением он не занимается. Если вдруг программа выдает предупреждение, то необходимо конкретно изучить данную проблему и убедиться, что это не ошибка. Довольно часто подобные предупреждения выползают в следствие несвоевременного обновления системы, если же, это все-таки другая причина и угроза реально является угрозой, то придется отыскивать эту программу и удалять из системы.

Все разновидности определяемых руткитов, можно посмотреть на оф. стр. проекта . Еще одна особенность Chkrootkit - это то, что данную утилиту не рекомендуется держать на компьютере, т.к. она может быть использована злоумышленниками в прямо противоположном значении. Другими словами, установили, просканировали, удалили.

Код:
 sudo apt-get purge chkrootkit
 

Майор

Администратор
Команда форума
Регистрация
04.09.14
Сообщения
2.833
Реакции
1.939
Баллы
113
Помимо утилиты chkrootkit, о которой напсиано выше, есть еще один полезный пакет crkhunter, который в купе с chkrootkit предназначен для обеспечения безопасности сервера на предмет троянов,вирусов, закладок и прочей гадости путем проверки MD5 сумм, контроля неверных прав доступа и сигнатур закладок в модулях ядра.
В Debian устанавливается просто:
Код:
 apt-get install rkhunter
Перед запуском рекомендуется обновить базы:
Код:
rkhunter --update
Запуск производится так:
 
Последнее редактирование модератором:
Сверху Снизу