Инструмент chkrootkit (Check Rootkit).

Linux > Инструмент chkrootkit (Check Rootkit).
29.11.2014 0:06:00



Статья:

chkrootkit (Check Rootkit) — является Unix-программой которая призвана помочь системным администраторам проверить свою систему на наличие известных руткитов. Это скрипт с помощью обычных инструментов UNIX / Linux (таких как strings и grep команд) дают возможность искать основные системные программы для сетей/ подписей сравнивая в файловой системе /proc  файлов с выводом команды ps (состояние процесса), чтобы искать разные расхождения. Утилита может быть использована с запуском «спасательного диска» (как правило, Live CD) или утилиту можно установить в систему.

Утилита имеет в себе модули для различного сканирования:

* chkrootkit — Модуль который проверяет вашу ОС.

* ifpromisc — Служит для поиска интерфейса (ов),  которые работают в режимах захвата пакетов.

* chklastlog — Служит для обнаружения различных фактов удаления записей из журнального файла lastlog.

* chkwtmp — Служит для обнаружения фактов удаления записей из журнального файла wtmp.

* check_wtmpx — Служит для обнаружения фактов удаления записей из журнального файла (только в Solaris).

* chkproc — Ищет следы от троянов LKM (Linux Kernel Module — модуль ядра Linux.)

* chkdirs — Ищет следы от троянов LKM.

* strings — Утилита для быстроты поиска и замены текстовых строк.

установка

apt-get install chkrootkit

Использование утилиты chkrootkit.

Чтобы запустить утилиту, достаточно выполнить команду ( только нужно запустить ее от рута):
# sudo chkrootkit

Опции

 : Показывает справку о работе с программой.
-V : Покажет версю утилиты.
-l : Выведет список проверок которые поддерживает программа.
-d : Режим отладки.
-q : Опция которая может задать минимальный вывод информации.
-x : Опция с помощью которой задается вывод дополнительной информации.
-r :  <каталог>Задается имя каталогов для использования в качестве корневого (root).
-p : dir_1:dir_2:dir_N  С помощью этой опции задаются пути для внешних программам, используемым chkrootkit.
-n : С помощью этой опции можно отключить просмотр всех смонтированных каталогов NFS.

Примеры использования:

1. Например, мы хотим начать поиск троянских программ в ps и ls и обнаружение интерфейсов которые работают в режиме захвата пакетов, то утилиту нужно запустить так:
# chkrootkit ps ls sniffer

2. Нужно найти все подозрительные строки в бинарных файлах, то нужно выполнить следующую команду:
# chkrootkit -x | more

Будет вывод осуществляться по страницам. Как по мне это удобно очень.

3. Нужно найти все подозрительные строки в бинарных файлах  по имени «bin»:
# chkrootkit -x | egrep ‘^/bin’

Утилита chkrootkit может использовать и другие утилиты для проверки, такие как awk, cut, egrep, find, head, id, ls, netstat, ps, strings, sed, uname. Если эти утилиты недоступны в пути поиска, то нужно указать путь к ним с помощью опции -p.

4. Команда что будет приведена ниже будет выполнять тесты chkrootkit с использованием утилит которые хранятся в директории /bin на компакт-диске и  смонтированы в системе как /cdrom:
# chkrootkit -p /cdrom/bin

5. Можно смонтировать раздел с помощью команды:
# chkrootkit -r /mnt1

Это нужно когда, например, вам нужно просканировать ХДД, на другом ПК на котором нет зараженных файлов ( если вы уверены на 100%).

6. Так же можно перенаправить вывод команды в файл. Например вы хотите что бы посте сканирования вашей системы вам отправился отчет на мыло:
0 3 * * * cd /usr/local/bin; ./chkrootkit 2>&1 | mail -s «chkrootkit output for HostName» captain

Каждые день в 3.00 часа  будет выполняться проверка, после окончания будет выслан отчет локальному юзеру captain на мыло.

7. Тест LKM позволяет увидеть в  вашей ОС все процессы которые скрыты от программы ps:
0,10,30 * * * * cd /usr/local/bin; ./chkrootkit lkm 2>&1 | mail -s «LKM search for HostName» captain@AdminHost

Отчет будет выслан на мыло.

8. С тестом sniffer можете видеть в своей сети все компьютеры и интерфейсы которые работают в режиме захвата пакетов:
1,5,11,16,21,26,31,36,41,46,51,56 * * * * cd /usr/local/bin; ./chkrootkit sniffer 2>&1 | mail -s «Packet sniffer search result for HostName» captain