rkhunter защита от руткитов на сервере

Homepage: rkhunter

# aptitude show rkhunter

Сканер Руткитов, уязвимостей и эксплоитов. Rootkit Hunter сканирует систему на предмет наличия известных и неизвестных руткитов, уязвимостей, снифферов и эксплоитов.

It checks for: * MD5 hash changes; * files commonly created by rootkits; * executables with anomalous file permissions; * suspicious strings in kernel modules; * hidden files in system directories; and can optionally scan within files.

# aptitude install rkhunter

Использование только одного rkhunter не гарантирует, что система будет в безопасности. Вам также следует запустить дополнительные тесты, например, используя chkrootkit.

Если программа rkhunter или chkroot обнаружит что-то подозрительное в вашей системе, она просто проинформирует вас о возможной проблеме. Ни одна из этих программ не удаляет файлы с вашего компьютера. Если вы получили какое-либо предупреждение от одной из этих программ, изучите проблему, о которой сообщается, и убедитесь в том, что ее обнаружение не является ошибкой. После этого выполните необходимые действия для устранения угрозы. Иногда вам всего лишь необходимо обновить операционную систему или другое программное обеспечение. В других случаях вам нужно будет отыскать вредоносную программу и удалить ее из системы.

Использование rkhunter

rkhunter необходимо регулярно обновлять, чтобы она могла обнаруживать новые уязвимости и вредоносные средства:

# rkhunter --update 
[ Rootkit Hunter version 1.3.6 ]

Checking rkhunter data files...
  Checking file mirrors.dat                                  [ No update ]
  Checking file programs_bad.dat                             [ No update ]
  Checking file backdoorports.dat                            [ No update ]
  Checking file suspscan.dat                                 [ No update ]
  Checking file i18n/cn                                      [ No update ]
  Checking file i18n/de                                      [ No update ]
  Checking file i18n/en                                      [ No update ]
  Checking file i18n/zh                                      [ No update ]
  Checking file i18n/zh.utf8                                 [ No update ]
root@atom:~# 

Запуск rkhunter для проверки компьютера на наличие вредоносных программных средств:

# rkhunter -c
[ Rootkit Hunter version 1.3.6 ]

Checking system commands...

  Performing 'strings' command checks
    Checking 'strings' command                               [ OK ]

  Performing 'shared libraries' checks
    Checking for preloading variables                        [ None found ]
    Checking for preloaded libraries                         [ None found ]
    Checking LD_LIBRARY_PATH variable                        [ Not found ]

  Performing file properties checks
    Checking for prerequisites                               [ OK ]
    /bin/bash                                                [ OK ]
    /bin/cat                                                 [ OK ]
    /bin/chmod                                               [ OK ]
    /bin/chown                                               [ OK ]
    /bin/cp                                                  [ OK ]
    /bin/csh                                                 [ OK ]
...

Если программа rkhunter выполняется правильно, вы увидите список директорий со статусом OK или Warning. После запуска программа rkhunter выполняет несколько типов проверок. По завершении одной проверки можно перейти к следующей, нажав клавишу Enter. Программа rkhunter проверяет следующие объекты:

  • Директории
  • Наличие руткитов на рабочей станции
  • Порты, наиболее часто используемые для лазеек типа back door
  • Файлы загрузки, учетные записи и группы, системные конфигурационные файлы и файловую систему
  • Приложения

После выполнения всех проверок rkhunter выводит отчет и создает журнал, содержащий результаты проверок.

Читайте также: Антивирус для Linux или Как Очистить Сайт от Вирусов, Чек лист по настройке VPS/VDS, выделенного сервера Linux с нуля.

PQ VPS сервера в 28+ странах.